[转载]通过URL欺骗安装木马
信息来源:网络金州转载说明:觉得这个方法很有一点意思,但是说白了,还是基础知识的问题。哈哈。
URL欺骗的惯用招式
1.@标志过滤用户名的解析
本来@标志是E-mail地址的用户名与主机的分隔符,但在我URL中同样适用,而且功能如出一辙。HTTP(超文本传输协议)规定了我URL的完整格式是“[url]Http://Name[/url]:Password@IP地址或主机名”,其中的“IP地址或主机名”是必填项。@标志与其前面的“Name:Password”,意为“用户名:密码”,属于可选项。也就是说,在我URL中真正起解析作用的网址是从@标志后面开始的,这就是欺骗原理。
举例:某QQ好友发给你一个说是有最新大片免费下载的地址 “[url]Http://www.sohu.com[/url]@[url]www.Trojan.com.cn/HuiGeZi_Server.exe[/url]”,你敢上去就点吗?的确,一眼看上去是“[url]www.sohu.com[/url]”搜狐网站的链接,而实际上这儿的“[url]www.sohu.com[/url]”只是个写成搜狐网址形式的用户名(此处的密码为空),因为后面有@标志。而真正链接的网址却是“[url]www.Trojan.com.cn/HuiGeZi_Server.exe[/url]”(这儿为了好理解,我杜撰了一个木马网站,其下有“灰鸽子”服务端),只要大家点击就会被种下木马。这个发来的URL地址其实完全等同于“Http:// [url]www.Trojan.com.cn/HuiGeZi_Server.exe[/url]”,而与前面的用户名毫无关系,只是迷惑性可就大大提高了。即使没有这个用户名,也完全不影响浏览器对URL的解析。大家要是不信,就在地址栏中随便写上个像是“[url]Http://abcdefg[/url]@[url]www.sohu.com[/url]”之类的地址再回车试试,还是照样儿进入搜狐网站。
2.十进制的IP地址
常见的IP地址包括四个字节,一般表示形式为“xxx.xxx.xxx.xxx”(x表示一个十进制数码),例如“61.135.132.12”。因为纯粹的数字IP地址过于抽象、难以记忆,所以采用域名服务DNS来与之对应。大家在浏览器地址栏中输入“[url]Http://www.sohu.com[/url]”与“[url]Http://61.135.132.12[/url]”的结果完全一样,都是访问搜狐网站,因为61.135.132.12就是搜狐域名[url]www.sohu.com[/url]的IP地址。不过,如果再试试“[url]Http://1032291340[/url]”的话,结果一定会让许多人吃惊,因为仍然打开了搜狐网站!
为什么一个十进制数“1032291340”等同于一个IP地址“61.135.132.12”呢?其实我刚才已经暗示过大家了,四位点分十进制形式的IP地址“61.135.132.12”代表一组32位二进制数码,如果合在一起再转换成一个十进制数的话,答案就是1032291340。转换方法很简单,就是数制的按权展开:12×2560+132×2561+135×2562+61×2563=12+33792+8847360+1023410176=1032291340(基数为256,即28)。
明白了这个道理,大家再回头看看刚才例子中的“[url]www.Trojan.com.cn/HuiGeZi_Server.exe[/url]”。如果说这种字母域名还会露出一截狐狸尾巴的话,那么当把它对应的IP地址(假设为“61.135.132.13”)换算成一个十进制数,结果是1032291341,再结合@标志过滤用户的解析,欺骗性就又上了一个台阶——[url]Http://www.sohu.com@1032291341[/url]。此时,还会有多少人会怀疑这个URL不是搜狐呢?
防范:查源代码法防范URL欺骗
但是大家还是可以防范的。其实,对付这些利用我URL去欺骗引诱人上当的恶意网页,只须一个最简单的招数即可奏效,那就是查看网页的源代码。当然,这需要有一点儿网页代码阅读的能力。
假设有人发给你一个的URL地址——[url]Http://www.[/url]…….com而事先你又不知道它是否为URL欺骗的话,只须在浏览器地址栏中输入“View-Source:[url]Http://www.[/url]…….com”并回车,系统就会调用记事本来打开这个网页的源代码。接下来就是在其中搜索一下(可使用“编辑→查找”菜单)有没有像是Format或者有<iframe src="ww.…….htm" name="……" width="0" height="0" frameborder="0">之类的危险编码。如果有的话当然要拒绝访问了 “只须在浏览器地址栏中输入“View-Source:[url]Http://www.163.com[/url]”并回车,系统就会调用记事本来打开这网页的源代码。”:怎么没有用啊 ,提示不能打开此网页,
2“ “[url]Http://www.sohu.com[/url]@[url]www.163.com[/url]”,也不能访问
请问为什么 ===========================================
哈哈。小试了一下。让人 [s:55] 的是没有看到你说的效果!
[s:43] [s:43] [s:43] [s:43] [s:43] [s:43] [s:43]
============================================ [quote][b]下面是引用juey于2005-12-17 08:13发表的:[/b]
“只须在浏览器地址栏中输入“View-Source:[url]Http://www.163.com[/url]”并回车,系统就会调用记事本来打开这网页的源代码。”:怎么没有用啊 ,提示不能打开此网页,
2“ “[url]Http://www.sohu.com[/url]@[url]www.163.com[/url]”,也不能访问
请问为什么[/quote]
试验一下
[url]Http://www.sohu.com@www.163.com[/url]
[url]http://www.163.com@www.eviloctal.com/forum/index.php[/url]
iis2、 iis3、 iis4 的一个广为人知的漏洞就是 ::$DATA,通过它使用
ie 的 view source 或 netscape 直接访问该 asp 文件就能轻而易举地看到 asp 代码。现在好像已经没有了。
如果你真想看到代码,给你推荐一个小工具,其实没有必要的。不上传了,怕万一使用的问题你再怀疑我给你放个木马,哈哈,
百度搜索 火眼网页代码 随便下载一个。
最后补充一句,开始没有仔细看你的帖子,所以没有回答完整,不好意思,只好回来编辑。哈哈
还有一点,是灌水的阿,因为这里管理严格,无论谁单独灌水都是要被kill的,所以只好跟随这个发
那就是,我遇到问题的时候,总是想自己有没有尽力。如果我试验了所有的我能想起来的可能,翻遍了所有我能找得到的资料,还是无法理解。我才会很认真地问出来。哈哈
你现在知道很多vip不大回复的原因了吧,就是他们比我忙,技术更好,所以觉得有些问题有点过于简单,问问题的朋友能自己解决,哈哈,我最近比较闲,哈哈,所以给你说了这么长,哈哈
我一般遇到问题的时候这样问自己,
[color=orangered]我尽力了吗?
我尝试了所有的可能了吗?
我阅读了相关的资料了吗?[/color] 等等,
哈哈,当然我是笨人,所以方法也是苯方法,哈哈 谢谢金州的回答,我再问你只前查过了资料,但是好象没有办法下手,百度里输入的时候可能有些错误,或者是我系统本身的问题,我下午装了2000,马上就见效果了,非常感谢你回答,我就是想了解清楚,这是不是和系统有关系,所以还是问,你说的人不耻下问嘛~呵呵,
我尽力了吗?
我尝试了所有的可能了吗?
我阅读了相关的资料了吗?
真的很有用,收藏了
再次谢谢 用一个叫httpdebug.exe的工具直接可以看网页的源代码! [quote][b]下面是引用心情好于2005-12-17 22:11发表的:[/b]
用一个叫httpdebug.exe的工具直接可以看网页的源代码![/quote]
直接在浏览器输入 view-source:[url]http://www.eviloctal.com/[/url]
就可以查源代码了。不是更方便吗?注意一定要加http:// [quote][b]下面是引用sunwear于2005-12-18 00:37发表的:[/b]
直接在浏览器输入 view-source:[url]http://www.eviloctal.com/[/url]
就可以查源代码了。不是更方便吗?注意一定要加http://[/quote]
不知道sunwear大哥是什么系统,我的是xp,sp2。浏览器myie3.3修改版本,好像不能用view-source察看,提示语法错误,如果您的可以查看,那就是系统版本的问题了,看来还是我认为错了,哈哈
不好意思,总算是学到了一点知识。惭愧。呵呵
祝福 XP的好象不可以,因为昨天上午我就用的XP SP2,输入格式正确,但是也是金州所说的那中情况,刚刚好下午要换个2000的,于是换好了再回到这贴,试了下,马上就可以了,初步断定是系统的原因,也许有个朋友告诉我的,学黑一定要用2000的,可能吧 [quote][b]下面是引用juey于2005-12-18 08:40发表的:[/b]
XP的好象不可以,因为昨天上午我就用的XP SP2,输入格式正确,但是也是金州所说的那中情况,刚刚好下午要换个2000的,于是换好了再回到这贴,试了下,马上就可以了,初步断定是系统的原因,也许有个朋友告诉我的,学黑一定要用2000的,可能吧[/quote]
感谢回复,从你那里学到了东西了,哈哈,感谢
祝福。另外对自己的不严谨认为是asp漏洞问题表示道歉。
哈哈,再次祝福。 刚发了个URL欺骗的就想起搜索看EST有没有此类的资料
还真有哈
现在的IE已经不能用view-source:来看网页源代码了
提示语法错误.
页:
[1]