网马解密初级篇漏洞预警
“十里长亭”通过精心收集,向本站投稿了5篇网马解密初级篇漏洞预警,以下是小编精心整理后的网马解密初级篇漏洞预警,希望对大家有所帮助。
篇1:网马解密初级篇漏洞预警
网马解密初级篇
一. 网页挂马的概念:
网页挂马是指:在获取网站或者网站服务器的部分或者全部权限后,在网页文件中插入一段恶意代码,这些恶意代码主要是一些包括IE等漏洞利用代码,用户访问被挂马的页面时,如果系统没有更新恶意代码中利用的漏洞补丁,则会执行恶意代码程序,进行 等危险操作,
二.常见的网页挂马方式:
框架挂马:
2. js文件挂马:
首先将以下代码:
document.write(“”);
保存为xxx.js,
则JS挂马代码为:
3. js变形加密
muma.txt可改成任意后缀
4. flash木马
网页木马地址 插入木马地址 width=10 height=10“, ”GET“ 宽度和高度,方式后面的照添,更改木马地址就可以了。
5. 不点出现链接的木马
页面要显示的内容
6.隐蔽挂马:
top.document.body.innerHTML=top.document.body.innerHTML+'rn'[/url]
7.css中挂马:
body {background-image:url('javascript.:document.write(”“)')}
8.Java挂马:
三.常见网马所利用的漏洞判断方式:
1. 根据恶意网址名称来判断漏洞
2.根据CLSID判断漏洞:
常见网马解密工具:
1.Freshow工具(作者:jimmyleo大牛)
工具简介(摘自freshow帮助文档):Freshow是一款脚本解密的工具,其开发的初衷是减少机械操作和简化处理步骤,使您能专注于脚本本身,
一般解密方法有手动和工具两种,Freshow尽量使得工作在一个工具下完成,当然它还不是那么成熟,您可以搭配其他工具来完成工作。Freshow目前具备过滤和解密功能模块能满足常见加密分析所需的操作。它的性能和稳定性还有最终的成果取决于您对Freshow的熟悉程度、对脚本知识的了解程度以及分析程度。
2.HTMLDecoder(作者:祥子大牛)
工具简介:这是一款自动解密的工具,功能非常强大,可惜俺对它研究还是,不是很深。只用过它解密过flash网马和pdf网马。
3.malzilla又称神器
工具简介:这个工具很好很强大,freshow无法解出的网马,使用这个工具基本都可以解出。
4.MDecoder(麦田大牛)
工具简介(摘自麦田的博客):1,Freshow的模仿者,使用WIN32汇编编写。
2,支持对网马中swf和exe的查找(不完善)。
3,支持网马识别,可通过修改classid.ini来扩充特征。
暂时先介绍这么多,还有很多辅助类的工具,后续会一一介绍给大家
篇2:网马解密高级篇(SWF解密)漏洞预警
网马解密高级篇(SWF解密)
一、Flash网马简介 :
flash网马是利用Adobe Flash Player播放器严重安全漏洞, 攻击者可以通过精心设计的特殊SWF文件实施攻击,浏览这些特殊构造的SWF文件,会运行攻击者设定的任意代码。
二、Flash网马解密方法:
今天我们主要来讲解如何利用(HTMLDecoder)工具,对flash网马进行解密。此工具由小祥大牛开发的一款自动网马解密工具,内附有flash网马解密功能,在这里宣传一下小祥大牛哈。工具下载见附件,本次讲解不提供具体的swf文件下载,防止一些网友不明,胡乱运行导致系统中毒。主要讲解对于flash网马如何解密的方法
好接下来我们讲解如何使用HTMLDecoder工具,进行flash网马解密,详见截图:
在这里主要讲解如何利用这个工具,来解密swf网马,此工具其它使用方法,会在今后的网马教学中进行讲解,
上述截图中红色框标出内容为在解密swf网马时,需要选择的相应的A>PDF/CWS/Zlib Extractor解密选项。在后面的pdf网马解密也是选择此项。
点击开始按钮弹出上述截图页面,此工具包含swf和pdf解密功能,简单介绍一下使用方法,点击浏览按钮找到要解密的swf或pdf文件,在输入文件类型选择相应的文件类型,默认为pdf,根据文件类型的不同,相应的加载或解压按钮也不相同,点击加载按钮,程序会自动结构拆分、找到其中的数据流,点击解压按钮后,解压数据浏览即会显示出网马下载地址。
定位到要解密的swf网马
在这里要注意两个细节:首先要选择输入文件类型为swf,因为要解密的是swf网马,选择此项后,默认的加载(pdf)按钮会变为解压(cws),这时我们点击解压(cws)按钮即可。
最终的解密结果在解压数据预览里显示,详见上图。
篇3:网马解密中级篇(Freshow工具使用方法)漏洞预警
网马解密中级篇(Freshow工具使用方法)
今天主要讲解的内容是Freshow工具的使用方法,工欲善其事,必先利其器,首先要学会如何使用解密工具,才能一步一步进入解密的殿堂,揭开网马解密的神秘面纱,好了,我们先来认识认识我们用到工具(Freshow),截图如下
1.URL:要解密的网址地址
2.Check:用来获取要解密网址的源代码(此工具要在联网状态下使用)
3.上操作区域:获取到的网站源代码在此处显示
4.C:清除代码,用来清除上操作区域和下操作区域的代码
5.P:是复制代码
6.Filter:过滤网页源代码中的js、iframe、script链接
7.Decoder:解密按钮,用来解密加密的网页源代码
8.过滤选项:
Qeye:过滤网页源代码中潜在的恶意链接,如:iframe、script结果会显示在收集区域;
Connect:连接字符串,如‘a+b’,使其变为:ab;
Nuls:过滤空字符串,使得脚本更容易阅读;
Replace:替换字符串;
Reverse:逆转字符,一些特殊的脚本采用这种方式。
解密选项:
9.Esc:可以转换%、%u、x等形式的转义字符,x可以再操作异或,如果知道确切的值,就在附加区域
里输入它,或者使用枚举异或enumXOR,会自动处理并返回结果 ;
ASCII:可以转换“1,2,3”形式的ASC码,分割符可以覆盖;
US-ASCII :代码类似汉字,且代码中包含有: c?/> Alpha2:这个算法针对在Replayer的漏洞利用上,首先转换到x形式,因为可能会经过异或操作; enumXOR:对十六进制的数据进行枚举异或,并返回结果; Base64:这种加密方式很少见,加密特征大小写字母及数字混排,末尾可能包含等号; Winwebmail:网马加密代码中有类似:document.write(unencode(webmm,3422));代码(至今未见过此类加密方式,这个不确定) 10.密钥 (目前主要ie7.0漏洞的解密需要密钥) 11.UP:将下操作区域的内容翻转到上操作区域进行二次解密 12.上选择按钮:对上操作区域代码进行清空或复制 13.下选择按钮:对下操作区域代码进行清空或复制 14.下操作区域:解密出网马结果显示在此处 15.收集区域:由Qeye筛选出的恶意链接被罗列在这里,可以通过上移、下移、删除、全选等操作。当选 中其中一个链接时,自动处理为新的URL,这时可以check得到新的源代码,显示在上操作区域,可继续 解密 16.ALL: 勾选所有收集区域的地址 17.Del:删除不需要的链接 18.上移按钮:将恶意链接地址进行上移操作 19.下移按钮:将恶意链接地址进行下移操作 20.Log:自动将选择项复制到剪切板并做一定的格式化处理,方便直接在论坛或其他地方与他人共享分 析结果 21.Download:将选择的网马地址复制到剪切板,并下载相应的网马(例如:迅雷、flashget开启状态下 ,并设置了监视相应的文件类型,此时点击download按钮就会调出默认的下载工具下载网马。) 22.Obj:目标插入区域,将最终解密出来的网马地址,复制到obj区域,并按Insert插入,它将会被自动 插入到之前选中的链接后,作为子级 23.Insert:插入网马链接地址 24.State:连接状态,可通过连接状态来判断网址是否失效。 一个完整的freshow日志,其中红色部分均为真实的网马地址: 注意:该网站有多处被挂马,内容都相同,只解出其中一个即可。 Code: Log is generated by FreShow. [wide]qianshou.tfol.com [script]qianshou.tfol.com/Js/highslide-with-html.js [script]3b3.org/c.js [frame]4t6nhh.6600.org/a/a100.htm [frame]4t6nhh.6600.org/a/cnzz.htm [frame]4t6nhh.6600.org/a/kk.htm [script]4t6nhh.6600.org/a/14.js [object]xin89221.com/love/windoss.css [frame]4t6nhh.6600.org/a/flash.htm [frame]4t6nhh.6600.org/a/iqq.html [object]4t6nhh.6600.org/a/i16.swf [object]4t6nhh.6600.org/a/i28.swf [object]4t6nhh.6600.org/a/i45.swf [object]4t6nhh.6600.org/a/i47.swf [object]4t6nhh.6600.org/a/i64.swf [object]4t6nhh.6600.org/a/i115.swf [frame]4t6nhh.6600.org/a/fqq.html [object]4t6nhh.6600.org/a/f16.swf [object]4t6nhh.6600.org/a/f28.swf [object]4t6nhh.6600.org/a/f45.swf [object]4t6nhh.6600.org/a/f47.swf [object]4t6nhh.6600.org/a/f64.swf [object]4t6nhh.6600.org/a/f115.swf [frame]4t6nhh.6600.org/a/xx.htm [script]4t6nhh.6600.org/a/xx.js [object]xin89221.com/love/windoss.css [frame]4t6nhh.6600.org/a/office.htm [script]4t6nhh.6600.org/a/office.js [object]xin89221.com/love/windoss.css [frame]4t6nhh.6600.org/a/02.htm [script]4t6nhh.6600.org/a/set.js [object]xin89221.com/love/windoss.css [script]4t6nhh.6600.org/a/reee.js [frame]4t6nhh.6600.org/a/real.htm [script]4t6nhh.6600.org/a/real.js [object]xin89221.com/love/windoss.css [frame]4t6nhh.6600.org/a/real.html [script]4t6nhh.6600.org/a/re11.js [object]xin89221.com/love/windoss.css [script]4t6nhh.6600.org/a/rkkk.js [frame]4t6nhh.6600.org/a/lz.htm [script]4t6nhh.6600.org/a/lz.js [object]xin89221.com/love/windoss.css [frame]4t6nhh.6600.org/a/bf.htm [script]4t6nhh.6600.org/a/bf1.js [script]4t6nhh.6600.org/a/bf.js [object]xin89221.com/love/windoss.css
篇4:Access在线解密[PHP源码]漏洞预警
只能解密或者97的MDB文件
/*site:www.t00ls.net */
/*如果 本信息 */
/*by:7jdg QQ:7259561 */
$file=$_FILES['uploadfile']['tmp_name'];
$oldname =$_FILES['uploadfile']['name'];
$ext =strtolower(substr(strrchr($oldname, '.'), 1));
if ($file)
{
if ($ext != ”mdb“)
{
echo ”你传的是MDB文件吗?大学生是你这样吗?
“;
echo ”您知道啥是MDB么?t“ . $oldname . ”是MDB后缀吗?后缀是啥知道不?“;
}
else
{
//为Access2000异或的源码
$PassSource2k=array(0xa1,0xec,0x7a,0x9c,0xe1,0x28,0x34,0x8a,0x73,0x7b,0xd2,0xdf,0x50);
//Access97的异或源码
$PassSource97=array(0x86,0xfb,0xec,0x37,0x5d,0x44,0x9c,0xfa,0xc6,0x5e,0x28,0xe6,0x13);
//$file = 'Level5555.mdb';
$ver = file_get_contents($file,1,null,0x14,1);//版本
$ver = hexdec(bin2hex($ver));
$EncrypFlag= file_get_contents($file,1,null,0x62,1);//加密标志
$EncrypFlag = hexdec(bin2hex($EncrypFlag));
for($i=66;$i < 92; $i++){
$temp = file_get_contents($file,1,null,$i,1);//加密标志
$pass[].=hexdec(bin2hex($temp));
}
if ($ver < 1){
$MdbVersion=”Access 97“;
if(($pass[0] ^ $PassSource97[0])==0)
$MdbPassword=”密码为空!“;
else{
$MdbPassword=”“;
for($i=0;$i < 13; $i++)
$MdbPassword .=chr($pass[$i*2] ^ $PassSource2k[$i]);
}
}else{
$MdbVersion=”Access 2000 or “;
for($i=0;$i < 13; $i++){
if(($i % 2)==0)
$t1 = chr(0x13 ^ $EncrypFlag ^ $pass[$i*2] ^ $PassSource2k[$i]);
else
$t1 = chr($pass[$i*2] ^ $PassSource2k[$i]);
$MdbPassword .=$t1;
}
}
if(ord($MdbPassword[1]) < 0x20 || ord($MdbPassword[1]) > 0x7e)
$MdbPassword=”密码为空!“;
}
}
?>
Access在线解密
MDB文件:
Access版本:
文件名:
密码:
---------------------------------------------------------------------------------------------------------
选择一个本地的mdb文件,上传解密,如发现密码不完整或者解密不出的问题,请随时联系我
---------------------------------------------------------------------------------------------------------
篇5:空指针漏洞防护技术――初级篇
指针对于绝大部分的编程人员来说都不陌生,说起C/C++中指针的使用既带来了编程方面的方便;同时对编程人员来说,也是对个人编程能力的一种考验,不正确的使用指针会直接导致程序崩溃,而如果是内核代码中对指针的错误使用,会导致系统崩溃,后果也是相当严重。
一般情况下我们使用指针时,错误用法集中在三个方面:
由指针指向的一块动态内存,在利用完后,没有释放内存,导致内存泄露 野指针(悬浮指针)的使用,在指针指向的内存空间使用完释放后,指针指向的内存空间已经归还给了操作系统,此时的指针成为野指针,在没有对野指针做处理的情况下,有可能对该指针再次利用导致指针引用错误而程序崩溃。 Null Pointer 空指针的引用,对于空指针的错误引用往往是由于在引用之前没有对空指针做判断,就直接使用空指针,还有可能把空指针作为一个对象来使用,间接使用对象中的属性或是方法,而引起程序崩溃,空指针的错误使用常见于系统、服务、软件漏洞方面。
对于第一和第二种情况,我们可以通过一些代码审计工具在发布之前就能确定导致内存泄露或是野指针存在的地方。比如常见的工具有fority,valgrind等及时发现指针错误引用导致的问题。
对于第三种情况,空指针(Null Pointer)引用导致的错误,依靠代码审计工具很难发现其中的错误,因为空指针的引用一般不会发生在出现空指针然后直接使用空指针情况。往往是由于代码逻辑比较复杂空指针引用的位置会比较远,不容易发现;并且在正常情况下不会触发,只有在特定输入条件下才会引发空指针引用。对于排查此类错误也就更加困难。
本文不会重点讨论内存泄露和野指针的内容,而是通过一些现有的漏洞和实例来分析一下Null Pointer 空指针。从NULL Pointer概念、本质结合静态逆向及内核动态调试技术来了解在win7 32位和win8 32位下系统对Null Pointer处理情况有什么不同;Win8 32位针对Null Pointer添加了哪些防护机制。
本文从浅入深,循序渐进的讲述了NULL Pointer,结合静态逆向分析和内核级动态调试技术深入剖析win8系统对零页内存的保护机制,其中还涉及到了一些内核调试的技巧,对于对NULL Pointer的概念、使用比较模糊的人员值得一读,对于从事安全研究和学习的人员也是巩固、加深、拓展的好素材。
【网马解密初级篇漏洞预警】相关文章:
文档为doc格式
