腳本木馬攻擊
『壹』 什麼是腳本攻擊
最近腳本攻擊好象是很流行的,不過早在很久前就有這個了!腳本攻擊嚴格的說應該是一件藝術而不是漏洞!首先我們先要知道什麼是腳本,腳本就是運行在網頁伺服器上的文本程序,例如:ASP、php、CGI、JSP、ISAP等等,腳本的攻擊就是利用這些文件的設置和編寫時的錯誤或者疏忽不當,攻擊者就可以利用這些來達到自己攻擊目的,如果一個伺服器存在這些漏洞,那麼它的淪陷也是時間的問題!
這些文本文件一般都是要結合資料庫來使用的,這些資料庫有ACCESS、MSsql、MYSQL、Oracle等!腳本攻擊就是針對這些資料庫來配合腳本對一些變數的過濾不嚴的問題來達到得到用戶密碼等敏感信息,修改資料庫等目的!下面我就針對這些來分別舉例說明!
一、跨站腳本的攻擊
腳本的跨站(CSS/XSS)就是利用程序對用戶提交的變數不嚴,大多數是利用多媒體標簽,前段時間比較流行的flash跨站就是利用的這個,比如我在[FLASH=450,350][/FLASH]之間插入一個我自己作好的一個swf文件,swf文件里我們用geturl里加上javascript:window.open('http://qfaq.yeah.net'就可以讓他打開清風安全網的網站,如果這里是一個木馬網頁,呵呵,,,你就等著中木馬吧!還有就是竊取用戶的cookie,例如我們利用也就是圖片的跨站,在這個裡面插入
這段地址即可得到!如果將javascript過濾掉後怎麼辦?
好,我們在看看下面這段代碼:
[upload=swf]uploadImages/200310812145390577.swf?">[/upload]
怎麼樣,還是能將你的信息得到的,而且還不會彈出對話框!
另外在joekoe論壇程序里還有一個這樣的問題,比如你發個帖子里有[DIR][/DIR]就會彈出一個播放器的安裝程序,呵呵,如果是一個黑心的站長利用這個來放馬,那後果就不用說了吧!
解決辦法:現在還沒有好的方法解決這個問題,你要做的就是將多媒體的標簽刪掉!
另附ASP和PHP的跨站代碼
php如下
$info = getenv("QUERY_STRING";
if ($info) {
$fp = fopen("test.txt","a";
fwrite($fp,$info."n";
fclose($fp);
}
?>
asp如下
二、sql injection
是現在最熱門的,也是本文要重點說的!
1、ASP+ACCESS資料庫類型的SQL注射
現在的大多數網站是採用的這個組合,但是如果在ASP程序中沒有對用戶提交的變數充分過濾的話就可能導致管理員密碼被猜到,整個網站的信息就會暴漏無移~!
在大多數ASP站點中,我們並不知道其程序代碼,靠任何掃描器也不可能發現SQL injection漏洞,這時就要靠手工檢測了,由於我們執行SQL語句要用到單引號、分號、逗號、冒號和「--」,所以我們就在可修改的URL後加上以上符號,或在表單中的文本框加上這些符號!比如比較經典的金梅系統漏洞,在movie.aps中有怎麼一段代碼:
articleid=request("id"
set rs=server.createobject("adodb.recordset"
sql="update learning set hits=hits+1 where articleID="&articleid
--------------------------------------------------------------------------------
2 [轉帖]腳本安全和利用
rs.open sql,conn,1,3
sql="select * from learning where articleid="&articleid
rs.open sql,conn,1,1
articleid未經任何檢查便提交了,所以我們就可以自己構造一些SQL語句來提交上去!具體的利用過程請看拙作《SQL注入完整篇》和《SQL注入的補充》的動畫教程,這里我就不在重復的說了!
2、ASP+MYSQL資料庫類型的利用
MYSQL資料庫簡單使用和強大的功能一直以來都是網管們的最愛!但是如果是ASP中沒有對變數過濾的話,我們就可以來直接的到他的系統管理員許可權!
比如動網論壇、BBSXP論壇的SQL版有好幾個文件都沒有對ID過濾,所以我們只要找到他的存在問題的頁面就可以了,
看這段代碼:rs.open "select * from news where newsid=" & cstr(request("newsid"),conn,1,1
比如我們提交:
http://XXX/show.asp?id=1;exec master.dbo.xp_cmdshell 'net user xuehan ilovexuehan /add';--
http://XXX/show.asp?id=1;exec master.dbo.xp_cmdshell 'net localgroup administrators xuehan /add';--
看到了嗎?我們已經在系統中田加了一個xuehan 密碼是ilovexuehan的管理員帳號,以下的事情你就自己來做吧,呵呵,,,不用我來教了吧!!!
如果過濾了分號和單引號怎麼辦?呵呵,我們只要將我們的命令形式轉換一下,比如我們轉換成十六進制或者別的形式就可以繼續注入了,還有就是他如果過濾了xp_cmdshell 我們也可以解決,我們可以寫成xp'+'_cmd'+'shell形式,如果他將xp_cmdshell 擴展刪掉,我們可以通過xplog70.dll文件來恢復,呵呵,,,具體自己查找下資料庫的知識,當然我們也可以用別的擴展!所以說SQL injection不僅僅是一門技術,更要有靈活的頭腦和扎實的資料庫知識,特別是對SQL語言的掌握程度,如果不會SQL語言,你永遠都是生搬硬套,遇到障礙就過不去了!
3、PHP+MYSQL資料庫類型
PHP+MYSQL一直以來都認為是最安全的組合,不過一些文件沒有過濾單引號、反斜線等,我們也可以來進行注入,不過在最新的php安裝程序里的php.ini文件默認都是對這些過濾掉的,所以很大情況下我們是無法對進行注入的,不過也有許多牛人們可以饒過這個限制的!由於我的PHP和MYSQL不是太懂,所以就不能來具體舉例來說明了,大家要是有興趣可以去找寫資料來看!!!
需要從根本上解決解決SQL Injection問題。還得從程序本身入手。過濾不能單純的過濾URL所提交的參數,在表單里的也要過濾,value=後面的可以修改的數據,修改後可以提交到伺服器,總之對所有的表單提交的數據以及用戶可能對HTML源文件進行修改來控制的所有來自Web伺服器外部的數據進行過濾或轉換,對單引號、雙引號、分號「--」還有對數字鍵上面的所有特殊字元進行過濾,還有QUERY_STRING環境變數。在伺服器上刪除一些危險的擴展存儲過程,比如xp_cmdshell。有條件裝個IDS更好,不敢說無堅不摧,但至少可以阻擋大部分攻擊者。
三、一些別的腳本攻擊
有些程序沒有對cookie或者session進行過濾和檢查,就造成了用戶可以非法修改提交頁面,自己提交修改數據,比如像海陽頂端網木馬的以前版本對session沒有過濾,我們就可以饒過密碼的驗證來到達真正的頁面,還有就是post提交的問題,像leadbbs的2.77版本就是沒有充分的過濾,我們就可以把管理員的密碼修改成自己的密碼!
還有一個腳本的攻擊例子,在Discuz! 2.0 論壇里,因為個人屬性缺乏必要的安全確認,所以很容易誘使其他會員自動修改其個人屬性內容,特別是注冊郵件信息,這關系著登陸密碼的修改。
比如我們發個帖子,寫上
誘使會員點擊這個頁面後,就會自動修改該會員注冊的email地址為crack.x.h2163.com。當然為了隱蔽性,可以更新後自動關閉,然後調用另外一個假地址。
當然我們也可以利用這個漏洞進行欺騙、隱藏來誘惑管理員來修改我們為管理員等等!大家自己去學習吧!
看了這么多枯燥的東西下面我們再來看看另外一個好玩的漏洞,在百渡里搜索」傳奇留言薄「找幾個免費的留言本進去,找到他的登陸頁面,我找到的一個是:
http://www.conanshome.com/guestbook/login.asp
我們再來看看下面這個連接:
http://www.conanshome.com/guestbook/admin.asp?adminid=admin
哈,怎麼我們就闖入後台了!!!
什麼原因,自己去琢磨吧!
後記:腳本的攻擊可以說是防不勝防的,我們所要做的只能是提高編寫程序的嚴謹態度,人為的因素在腳本攻擊中是最重要的!
聲明:本文提到的漏洞都有一定的攻擊性,我們的目的是探討技術,搞破壞的是小人!所造成的一切後果於作者無關!由於作者水平有限,文中難免有錯誤之處,歡迎指出!
『貳』 什麼叫腳本病毒又何危害
腳本病毒
這類病毒編寫最為簡單,但造成的危害非常大。我們常見的瀏覽了xx站點就被改了主頁,在收藏夾里被添加上很多無謂的東西,就是拜這類病毒所賜。
病毒描述:這類病毒的本質是利用腳本解釋器的檢查漏洞和用戶許可權設置不當進行感染傳播;病毒本身是ascii碼或者加密的ascii碼,通過特定的腳本解釋器執行產生規定行為,因其行為對計算機用戶造成傷害,因此被定性為惡意程序。最常見的行為就是修改用戶主頁,搜索頁,修改用戶收藏夾,在每個文件夾下放置自動執行文件拖慢系統速度等;比較出名的如美利莎郵件病毒、新歡樂時光病毒、office的宏病毒等都屬於這類。
病毒淺析:為了完成一些自動化的任務,需要用程序方式來實現。但復雜的程序編寫又不是非程序人員能夠勝任的。為了提高工作效率,方便用戶操作,加強系統特性,於是許多軟體/操作系統都預留了介面給用戶,用簡單的方法編寫一些完成一定功能的小程序。程序本身是ascii碼的,不編譯,直接解釋執行,在調試/修改使用上相當簡便,雖然犧牲一定效率,但是換來了易用性。這本是一個良好的願望,但太多的時候,這沒有起到積極的作用,反而為腳本病毒編寫者提供了良機。
以web病毒為例,由於用戶缺乏安全意識用錯誤的許可權登陸,導致ie中的解釋器使用wsh可以操作硬碟上的文件和注冊表,而javascript和vbscript調用wsh是很容易的事情——於是惡意腳本的作者只需要讓你訪問該頁面,就能在你本地寫上一些惡意的腳本,在注冊表裡修改你的主頁/搜索項了。而利用ie的activex檢查漏洞,則可以在不提示地情況下從網路上下載文件並自動執行——這就成了木馬攻擊的前奏曲;利用mime頭漏洞,則可以用一個以jpg結尾的url中,指向一個事實上的web頁,然後在web頁中內嵌圖片+惡意代碼的方式迷惑計算機用戶;利用outlook自動讀去eml的特性和mime頭檢查不嚴格來執行惡意2進制代碼;利用本地硬碟上有執行autorun.inf的特性(這功能本來是光碟機用的,我們的光碟之所以放進去就能自動讀出程序,就是光碟上有個名為autorun.inf文件起的作用,它是個文本文件,各位可以看看)把一些需要載入的程序寫到該文件下導致每次訪問該分區的時候就會自動運行;利用windows下會優先讀取folder.htt和desktop.ini的特性,將惡意代碼寫入其中,導致訪問任何一個文件夾的時候都會啟動該病毒,再配合上鎖定注冊表的功能,殺除起來異常麻煩——不復雜,但是相當煩瑣,一不留意沒殺干凈一處,又導致死灰復燃,前功盡棄。
病毒自查:上面有提到,這類病毒一般以搗亂居多,所以特別容易發現。而其另一個作用是作為木馬進駐系統的先遣部隊,利用瀏覽器漏洞等達到下載木馬文件到本地硬碟,並修改啟動項,達到下次啟機運行的目的。因此一旦發現木馬的同時,也可以檢查一下是不是有些可疑的腳本文件。
病毒查殺:這類病毒一般來說由於其編寫靈活,源代碼公開,所以衍生版本格外地多;殺毒軟體/木馬殺除軟體對待這類病毒大多沒用。而由於腳本病毒(除宏病毒外)大多是獨立文件,只要將這些文件查找出來刪除掉就行了。不過這里值得留意的是,利用微軟的瀏覽器的漏洞,在點擊選擇某些文件的同時就自動執行了,甚至打開瀏覽器的同時腳本病毒就開始駐留感染——這樣是無法殺除干凈的。
正確的做法是使用其他第三方的資源瀏覽器,例如Total Command就是一個非常不錯的選擇。查殺大致過程如下:首先,在資源瀏覽器——工具——文件夾選項中,將「使用Windows傳統風格的桌面」取消掉,在桌面上點右鍵,點「屬性」——「桌面設置」,將使用活動桌面取消,接著查殺可疑對象;常見查殺對象:各個根分區下的autorun.inf,各個目錄下的desktop.ini和folder.htt(有幾個是系統自帶的,不過刪除了也無關系的),這一步最好採用第三方的資源瀏覽器,例如前面介紹的Total Command來完成。在這一步,最忌諱查殺不凈,即使有一個病毒遺漏,很快就又遍布各個文件夾內了。關於郵件病毒的殺除使用專殺工具就行了。
病毒殘留:純粹腳本病毒在殺除後不會有任何殘留,但由於目前的病毒大都採用復合形態,捆綁多種傳染方式和多種特性,因此不少腳本病毒只是將用戶機器的安全防線撕開的前奏——真正的破壞主力木馬、蠕蟲尾隨其後進入系統,因此在殺除掉腳本病毒後,非常有必要連帶著檢查系統中是否已經有了木馬和蠕蟲病毒。
病毒防禦:腳本病毒的特性之一就是被動觸發——因此防禦腳本病毒最好的方法是不訪問帶毒的文件/web網頁,在網路時代,腳本病毒更以欺騙的方式引誘人運行居多。由於ie本身存在多個漏洞,特別是執行activex的功能存在相當大的弊端,最近爆出的重大漏洞都和它有關,包括mozilla的windows版本也未能倖免。因此個人推薦使用myie2軟體代替ie作為默認瀏覽器,因為myie2中有個方便的功能是啟用/禁用web頁面的activex控制項,在默認的時候,可以將頁面中的activex控制項全部禁用,待訪問在線電影類等情況下根據自己的需要再啟用。關於郵件病毒,大多以eml作為文件後綴的,如果您單機有用outlook取信的習慣,最好准備一個能檢測郵件病毒的殺毒軟體並及時升級。如果非必要,將word等office軟體中的宏選項設置為禁用。腳本病毒是目前網路上最為常見的一類病毒,它編寫容易,源代碼公開,修改起來相當容易和方便,而且往往給用戶造成的巨大危害。
以上4類程序的介紹,為了降低學習難度,我是單態方式來介紹的。事實上目前的病毒大多以具有上面4類程序中的2到3類的特徵,因此無論感染,傳播,殺除的困難都大大增加。例如發文前夕的mydoom新變種病毒的分析中:它利用系統漏洞/郵件群發/共享漏洞方式傳播(具備了蠕蟲、腳本病毒和新型病毒的傳播特性),進駐用戶系統後上載自身並運行(木馬特性),獲取用戶本地outlook中的地址本(木馬特性),通過調用google等搜索引擎獲取用戶email地址本中同後綴的相關選項(調用系統程序,木馬功能),再主動給地址本中的每個程序發出email(木馬特性)。對待這樣一個病毒,無論是系統存在漏洞、共享安全設置不當、或者隨意地打開了「朋友」發來的email,都可能導致中毒。關於中毒途徑的分析,留待下一站《攻擊防禦之旅》內一並介紹。
在從第一個病毒出現到現在,已經有整整半個世紀了,病毒的發展日新月異,令查殺的困難大大增加,造成的損失也異常巨大。或許,計算機病毒這個幽靈,從計算機誕生的那一刻起就註定要如影相隨的。只要還有用心險惡的人存在,那麼病毒就不會消亡。病毒之戰,恐怕會在今後的日子裡越演越烈……
『叄』 集後門木馬、挖礦腳本、勒索病毒於一身,這個ZIP壓縮文件厲害了
近日,白帽子黑客Marco Ramilli捕獲到了一封「奇特」的惡意電子郵件,其中包含一條鏈接,一旦點擊就會導致一個名為「pik.zip」的壓縮文件被下載。之所以說它奇特,是因為包含在這個ZIP文件中的JavaScript腳本文件採用了西里爾字母進行命名——被命名為「Группа Компаний ПИК подробности заказа」,翻譯過來就是「PIK集團公司訂單詳情」。
需要說明的是,目前使用西里爾字母的文字包括俄語、烏克蘭語、盧森尼亞語、白俄羅斯語、保加利亞語、塞爾維亞語和馬其頓語等,而PIK恰好就是俄羅斯的一家房地產公司,擁有超過1.4萬名員工。也就是說,攻擊者顯然試圖將電子郵件偽裝成來自PIK公司,從而藉助該公司的聲譽開展攻擊活動。
Marco Ramilli表示,攻擊者使用了多種混淆技術來對該腳本JavaScript進行混淆處理。其中,在感染第一階段階段存在兩個主要的混淆流:
該腳本最終會釋放並執行一個虛假的圖像文件「msg.jpg」,該文件實局州際上是一個經過UPX加殼的派臘好Windows PE文件,被用於感染的第二階段。
在感染的第二階段,三個額外的模塊會被釋放並執行:一個後門木馬、一個挖礦腳本和一種此前曾被廣泛報道過的勒索病毒——Troldesh。
分析表明,第一個被釋放的模塊(327B0EF4.exe)與Troldesh非常相似。該勒索病毒會在加密目標文件之後對其進行重命名並附加一塵鉛個「.crypted00000」擴展名。舉例來說,當一個名為「1.jp」的文件在被加密之後,其文件名就會被重命名為「hmv8IGQE5oYCLEd2IS3wZQ==.135DB21A6CE65DAEFE26.crypted000007」。同時,Troldesh還會篡改計算機桌面的壁紙,以顯示勒索信息:
第二個被釋放的模塊(37ED0C97.exe)是被證實一個名為「nheqminer」的挖礦腳本,被用於挖掘大零幣(Zcash,一種加密貨幣)。
第三個安裝被釋放的模塊(B56CE7B7.exe)則被證實是Heur木馬,該木馬的主要功能是針對WordPress網站實施暴力破解,曾在2017年被廣泛報道。
根據Marco Ramilli的說法,該木馬的典型行為與HEUR.Trojan.Win32.Generic非常相似,包括:
一旦該木馬安裝成功,就會通過暴力破解來尋求弱口令憑證,而一旦發現了弱口令憑證,就將pik.zip復制到這些WordPress網站中。
Marco Ramilli認為,此次攻擊活動背後的攻擊者顯然試圖通過多種渠道來牟利——勒索病毒和加密貨幣挖礦腳本。此外,攻擊者還試圖通過受感染計算機來暴力破解並控制隨機的WordPress網站。這樣的攻擊活動工作量顯然非常大,且很容易被檢測到。因此,攻擊者不太可能是某個國家黑客組織,而只是一群想要同時通過多種方式來牟利的網路犯罪分子。