7月1日建党节 Party's Day ,1941年党中央决定召开“一大”的确1921年7月的首日即7月1日作为党的生日和纪念日。多美好的日子!为什么在这一天还搞黑客活动呢!对的起我们的党吗?呵呵!
一,发现!
言归正传
在华夏黑客论坛 版主交流区发现 jijy 报告论坛被挂马,(在此感谢jijy为论坛做出的贡献)
http://bbs.77169.com/dispbbs_165_59990_1.html
这是最新的网页木马。心中一惊.没打补丁将会弹出帮助!当然的手提电脑是打了补丁的,
当我打开此篇贴子之后,杀毒软件报警。
screen.width-300)this.width=screen.width-300" border=0>
一,发现!
言归正传
在华夏黑客论坛 版主交流区发现 jijy 报告论坛被挂马,(在此感谢jijy为论坛做出的贡献)
http://bbs.77169.com/dispbbs_165_59990_1.html
这是最新的网页木马。心中一惊.没打补丁将会弹出帮助!当然的手提电脑是打了补丁的,
当我打开此篇贴子之后,杀毒软件报警。
细看此篇贴子,有一点不对地方,skyie用户上面都是 这么会显示这样呢?
立刻 查看贴子源程序! 步骤:IE->查看->源文件
当时感觉就是用 IfRAME 来挂马的
查找 IfRAME 看见这些代码!
图一
var actioninfo3='单帖屏蔽';document.write (dvbbs_show_topic('406806','165','残暴二丫','','','
[email protected]','var actioninfo3=\'单帖屏蔽\'','','Images/userface/image1.gif','【华夏黑客同盟】:一个月学会基本的黑客技术', '','','','','2005-6-29 4:29:22','face1.gif','202.105.138.114','59990',1,0,192360,2,'新手上路','', '','13','2005-6-27','85','36','16','','1',0,'0','lvl01.gif',4,'2005-6-29 4:22:51','0',1,'tablebody2','0','0',''));
screen.width-300)this.width=screen.width-300" border=0>
细心的人已经发现了木马!
大家注意看,残暴二丫 这个用户的问题,但是在回贴的子的时候看不到他的贴子,可是木马又发出去了怎么回事呢?
1,木马是怎么发上去的呢?
2,残暴二丫 回贴子的时候为什么看不见呢?
带着问题,我们接着分析一下!
二,分析!
1,木马是怎么发上去的呢?
首先想到在后台查一下 残暴二丫的用户资料。
看到如图2
主页这里代码
这回明白了,原来他是将代码写在主页这里呀!
难道说动网没有过滤?
于是
打开注册页面我注册一个用户试试!
screen.width-300)this.width=screen.width-300" border=0>
如图3
主页里,我写上
竟然注册成功!跟个贴子,结果可能想而知了!就这么简单的让别人运行了我们的木马页面!
[1] [2] [3]
screen.width-300)this.width=screen.width-300" border=0>
看来是reg.ASP页面没过滤。
打开reg.asp(动网注册页面)查看源程序!
UserIM=checkreal(Request.form("homepage")) &""& checkreal(Request.form("OICQ")) &""& checkreal(Request.form("ICQ")) &""& checkreal(Request.form("MSN")) &""& checkreal(Request.form("yahoo")) &""& checkreal(Request.form("aim")) &""& checkreal(Request.form("UC"))
分析动网数据库才明白 UserIM 是TEXT类型用来存储 主页,OICQ,ICQ,msn,yahoo,aim,uc
存储格式
主页OICQICQmsnyahooaimuc
homepage 就是注册时的主页选项,(Request.form("homepage")) 从from表单得到数据
checkreal 是不是过滤呢,找到看了一下,不是过滤函数.
看来没有对 homepage 处理好!我们怎么解决一会说!
2,残暴二丫 回贴子的时候为什么看不见 呢?
分析代码,
var actioninfo3='单帖屏蔽';document.write (dvbbs_show_topic('406806','165','残暴二丫','','','
[email protected]','var actioninfo3=\'单帖屏蔽\'','','Images/userface/image1.gif','【华夏黑客同盟】:一个月学会基本的黑客技术', '','','','','2005-6-29 4:29:22','face1.gif','202.105.138.114','59990',1,0,192360,2,'新手上路','', '','13','2005-6-27','85','36','16','','1',0,'0','lvl01.gif',4,'2005-6-29 4:22:51','0',1,'tablebody2','0','0',''));
熟悉Script脚本的朋友都知道应当是结束代码
大家注意到没有,有两个,那个是结束标记呢?当然是最近的那个
所以,Script脚本到 这里就结束了,下面的没有执行所以不显示。
三,终结动网最新挂马方法!
从分析步骤中可能看出是对 homepage 没有处理好!
下面我们写一个程序来处理一下 homepage 的输入!
大家再一下这个代码?
UserIM=checkreal(Request.form("homepage")) &""& checkreal(Request.form("OICQ")) &""& checkreal(Request.form("ICQ")) &""& checkreal(Request.form("msn")) &""& checkreal(Request.form("yahoo")) &""& checkreal(Request.form("aim")) &""& checkreal(Request.form("uc"))
都没处理。
一个一个变量去过滤太麻烦
我们直接对 UserIM 进入过滤就可以了!
在reg.asp 最下面加一个过滤函数
","过滤")
fString=replace(fString,"\","过滤")
fString=replace(fString,"--","过滤")
fString=replace(fString,"'","过滤")
fString=replace(fString," ","过滤")
fString=replace(fString,"%","过滤")
'fString=replace(fString,CHR(34),""")
fString=replace(fString,vbCrlf,"
")
HtmlEncode2=fString
end function
%>
接着reg.asp中用到 UserIM的有两处.
查找到 "UserIM=" 在这条语句之后加入一条语句
UserIM=HTMLEncode2(UserIM)
到此reg.asp文件过滤完了!
想想可能还有别的文件也用到了UserIM吧!
可能修改主页选项的应当有三处
[1] [2] [3]
1,注册的时候,
2,注册之后可以修改个人信息,
3,管理员在后台修改个人信息
补的方式也都一样,
modifyadd.asp 是修改个人信息时用的文件。相同的步骤
1,加上过滤函数
2,查找到 "UserIM=" 在这条语句之后加入一条语句
UserIM=HTMLEncode2(UserIM)
后台管理员修改个人信息那个就别管他了。
再想想,还有没有漏补的地方?
对了,在给文件打补丁之前有人已经发木马了!我只删除了一个用户,可能还有别的用户也有问题,而且不知道是那个用户,现在要不然等他再发贴子,看见了有木马再删除,这样太被动了。19万注册用户又不可能一个一个去查一下。
怎么办呢?
搜索一下有问题的用户删除!是个好办法。
SQL版的TEXT类型 直接用查询分析器查不出来,
下面我改写了一个程序,主要功能用来搜索TEXT类型的数据并替换它!
如图4
screen.width-300)this.width=screen.width-300" border=0>
例如
解决之前已经有问题的注册用户(就是已经将主页那改成 的用户)
数据表名
dv_user
字段名
UserIM
其它条件
UserID>180000
将字符:
(出处:http://www.sheup.com)
[1] [2] [3]
对了,在给文件打补丁之前有人已经发木马了!我只删除了一个用户,可能还有别的用户也有问题,而且不知道是那个用户,现在要不然等他再发贴子,看见了有木马再删除,这样太被动了。19万注册用户又不可能一个一个去查一下。
怎么办呢?
搜索一下有问题的用户删除!是个好办法。
SQL版的TEXT类型 直接用查询分析器查不出来,
下面我改写了一个程序,主要功能用来搜索TEXT类型的数据并替换它!
如图4
screen.width-300)this.width=screen.width-300" border=0>
例如
解决之前已经有问题的注册用户(就是已经将主页那改成 的用户)
数据表名
dv_user
字段名
UserIM
其它条件
UserID>180000
将字符:
(出处:http://www.sheup.com)
[1] [2] [3] [4]