标签 ‘网马’ 下的日志

借”3168a网马”案例来分析所谓的自写函数加密解密网马

【文章标题】: 借"3168a网马"案例来分析所谓的自写函数加密解密网马
【文章作者】: T4nk
【作者邮箱】: [email protected]
【作者主页】: http://www.upx.com.cn

事出有因:某天 客户公司内网中毒 经过捉包一查

为http://ora点3168a点com//s368%5C/NEwJs2.js

里面包含 MS06-014 讯雷 网马

其实整个解密过程相当简单(之前有说明过 所以不再…)

其中有个网马加密原型如下:

#1号—————
<html><head><Meta Name=TestName Content=Test>
<noscript><iframe></iframe></noscript><script language="javascript"><!–
阅读全文 »

Tags: ,

百度网马工具

来源:7jdg's blog

百度网马的时想要用到,CAB文件封装器CABARC

Usage: CABARC [options] command cabfile [@list] [files] [dest_dir]

Commands:
L List contents of cabinet (e.g. cabarc l test.cab)
N Create new cabinet (e.g. cabarc n test.cab *.c app.mak *.h)
X Extract file(s) from cabinet (e.g. cabarc x test.cab foo*.c)

例如:cabarc n calc.cab muma.exe
阅读全文 »

Tags: ,

Ajax 让网页木马“悄悄的执行”

作者:空虚浪子心[X.G.C] http://cnxhacker.net
来源:IT168
原文地址:http://publish.it168.com/2007/0622/20070622010401.shtml

  关于Ajax的执行,开发人员是这样想的“Ajax要做到,在用户浏览网页时应该感觉不到的它的执行(异步),不需要等待页面刷新就可以自动完成验证数据”,比如用户名是否可以注册等。每当我想到“感觉不到的它的执行”这句话,就会联想到还有很多网络安全相关的东西(比如木马)都希望可以做到在用户感觉不到执行,或者可以在用户感觉不到的时候做些什么。

  许多“研究网络安全的朋友”都应该感觉到,微软的操作系统已经很久没有像以前那样可以“ms05039.exe www.microsoft.com 阅读全文 »

Tags: , ,

004不卡IE版 修正了部分XP系统

鬼仔:07004最近抄的很热,我这里打不开,不知道是不是我系统有问题。

作者:灵魂追随
来源:灵魂追随's Blog

关于卡IE修补的各种方法,个人认为运用到程序里面还是有很多不足的,所以我只修改了溢出的时间,让系统内存读写有缓冲的空隙,从而达到溢出成功的效果, 成功不会卡死IE,至于关不关IE,我系统不关,但是其他人系统就不知道了,自己测试吧!

e2007225125324.rar

Tags: ,

xp_sp2系统专用网马

作者:灵魂追随
来源:灵魂追随's Blog

不是Ms06014这类的根本无法中!
自己随便写了一个出来,加JS,提高了中马率,和免杀长久性,本来不想发布的,想送给朋友,现在提供给大家去拿去挂吧!!要系统无任何补丁的情况!但是效果超过了MS0614


z2007226132728.rar

Tags:

MS Internet Explorer VML Download and Execute Exploit (MS07-004生成器)

来源:milw0rm.com

阅读全文 »

Tags: , , ,

挂溢出型网马的一个小技巧

文章作者:茄子宝
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

一直以来跨域脚本型网马比溢出型网马都要流行,究其原因就是溢出型网马会消耗大量的系统资源导致IE卡死甚至崩溃.

想一想如果一个溢出型网马挂在稍微有流量的站点,访问者一进入网站IE就假死,导致整个网站都不能正常访问,管理员也会在第一时间发现.

在以后层出不穷的IE漏洞中已经很难见到MS06014这种跨域脚本型网马,大部分IE漏洞包括0day都是溢出型网马.

我这里很早以前就有利用溢出型网马攻击网站的两个思路:

1.让溢出型网马的效果延时,也就是访问者进入网站后网马并不是马上起效,而是延时5秒至10秒执行.

这个思路在javascript中很好实现,直接用setTimeout对象,用setTimeout可以在未来的某个指定时间执行特定指令.
阅读全文 »

Tags: ,

过Windows SP2的IE_VML网页木马生成器

文章作者:XiaoC
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

本人根据jamikazu 的代码修改的,克服了n0p的溢出只能在2000系统上运行的缺陷!
过Windows SP2的IE_VML网页木马生成器
过Windows SP2

使用方法:
注:请勿直接运行Shellcode.exe!
1.用记事本打开“生成.bat” 修改 http://www.cc99.cn/xxx.exe 为你的马的地址。
2.保存“生成.bat”后双击运行,即可生成ShellCode.txt.
3.用记事本打开IE_VML.htm,找到#########Your Shellcode!!!#########的字样,
把生成的ShellCode.txt中的Shellcode复制替换#########Your Shellcode!!!#########,保存!
阅读全文 »

Tags: , ,