前几天逛了逛死党的个人Blog,我的卡巴立马发出病毒警告,显然就是网页木马。个人感觉死党本人挂马不怎么可能,他的blog浏览量还算不错,怎么可能砸掉自己的招牌?后来在QQ上询问他,原来是某个无聊的家伙入侵他的网站并且挂了网页木马。在经过一阵紧急处理后,Web方面的漏洞算是修补好了后来再次来到Blog,发现居然又被人挂了马,看来这家伙留了一手.赶紧联系朋友,正巧他也发现了这个问题,并且顺利找到了这家伙的aspshell。刚好我在绿盟上浏览漏洞公告,无意中发现一个好东西,赶快叫朋友对这个aspshell“手下留情”,看咱如何惩治这个入侵者。
利用漏洞戏弄入侵者
绿盟关于该漏洞的描叙是:“MicrosoftWindows的MSHTML.DLL在解析特制HTML时存在拒绝服务漏洞,远程攻击者可以通过诱骗用户访问特制的HTML页面导致IE崩溃。”同时也给出了漏洞的利用代码。这个漏洞已经出来了一些时日,可能大家觉得它的利用价值不高,很少有人注意到。也正是这种不重视的心态,导致微软方面至今都没有给出该漏洞的相关补丁。该漏洞的利用代码如下:
-->
<head>
<style><!--
#page div p:first-child:first-letter {
border-bottom:2px ridge #F5DEB3;
}
//-->
</style>
</head>
<body><div id="paee"><div><p><strong>suntzu</strong></p>
只要我们保存为*.htm放到网站上浏览,IE和其他基于IE的浏览器会马上崩溃。那么如何利用它来对付入侵者呢?如果是写到aspshell,由于代码不兼容的原因,一般会报错.其实我们完全可以利用调用语句啊,我们把上面这段代码保存为haha.htm并且放在入侵者的aspshell目录中,然后在他的aspshell末尾插入这么一句:<!--#include file="haha.htm"-->
这样,当他成功访问到他的aspshell并开心地准备输入密码的同时,浏览器会马上死掉。特别是对于TT这样的浏览器,一般崩溃后会重新建立进程并提示用户是否打开上次浏览过的页面。许多人在这里会选择确定,如此下去就成了一个死循环,是不是很有意思?
战果颇丰 入侵者被虐
立即把这个思路告诉朋友,他有意利用统计系统做了一下这个入侵者的aspshell访问统计。晚上他告诉我这个页面被访问了50多次,我简直快要把大牙笑掉了,具有如此“坚持不懈”的精神,难道就是传说中的黑客吗?想像到这个入侵者在访问他的asp木马后吃惊的神态,却全然不知他正在被我们戏耍,这是否就叫恶人有恶报呢?
截止到发稿,官方仍未给出安全补丁,难道微软的工程师还在那过节?也不知道这个入侵者是否还处于“昏迷状态”。写这篇文章是提醒大家要多注意一下最新的漏洞信息,因为很多不被人重视的漏洞也有着它的利用价值.平时我们都只关心从漏洞来的入侵,其实漏洞也完全可以用来对付入侵者啊.相信IE再度暴出触发程序运行的漏洞时,你的aspshell可能会让你玩黑不成,反被人黑.还是那几个字:适可而止。
显然,拿这个漏洞去整理那些黑小子是再好不过了,还有,漏洞的主页需要被访问才行,至于如何让对方访问,那就各显神通吧。
