背景:做客户端时在开始的程序菜单里往往会放一个.url的文件,指引用户点击到软件主页上。有时会出现.url文件没有图标。
url文件详解、恶意利用及其防范
首先,我们新建一个文本文档,“新建文本文档.txt“
重命名为”XX.url”——看到了什么???对,扩展名没了!!只剩下一个IE的icon图标了。并且最重要的是,右键重命名无法修改扩展名
这样我们就可以利用url文件来制作简单的
其实url文件的结构非常简单
头部:
[InternetShortcut]
正文:
URL=http://www.blackbap.com/bbs/index.php
Modified=F00F43B3A875C601D9
扩展:
IconFile=C:\WINDOWS\system32\SHELL32.dll /*后面接图标文件路径及文件*/
IconIndex=123 /*其中“iconindex=n”表示使用的图标是指定文件中的第几个图标*/
注:shell.dll里面放置了Windows自带的所有图标,可以使用eXeScope打开查看“资源”
头部不变,url=这一项我就不解释了
至于Modified记录页面最后修改时间的HTTP头信息的,只要位数对了就好了,注意字母大写!
作用跟我们个人没关系。多数用于搜索引擎的搜索。例如谷歌要看看以前抓去的页面是不是变化了,看看Modified值变了没有就好了
例如:
[InternetShortcut]
URL=http://www.blackbap.com/index.php
Modified=F00F43B3A875C601D9
恶意操作:
举个例子吧
iconfile=C:\windows\regedit.exe
iconindex=1
保存后刷新,看看,成了注册表了
如果我把它换成“我的电脑”图标,放到某机器上
跨刷流量啊
某番茄:奇怪,这是什么病毒,打开我的电脑就成了某网页,怎么搞得???
当然,如果这个url挂马了,呵呵,这个url文件不会被杀的,这东西,虽然没有流氓好用,但是用起来比流氓还流氓
有点:伪装性
缺点:易处理
解决方法:这还用我教??删掉呗!!
我见过华夏某广告毒,将“我的电脑”隐藏,居然放上url
删一次出一次,这东西还没法抑制再生!!唉~处理病毒母本都费劲——木本杀软不报,因为恶意程度不够!!只能手动清除,一次一次的用运行打开文件夹——麻烦!
因为“我的电脑”“我的文档”没有url,隐藏成他们再好不过了
url文件的扩展用法:
保存session
这个我就不详细讲了
例如百度wap贴吧wapp.baidu.com,手机登陆后有个"?sid=XXXXXXXXXXXXXXXXXXXXXXXXXXX"
这个东西以前存在漏洞,保存之后就相当于各手机登陆书签,存到手机后可用蓝牙互传——当然我说的这个用法是个例子,其实真正用起来不方便,再说现在百度已经修复了这个问题,用起来更麻烦
以上那一段当我没说好了!!
很多网站验证使用伪session验证的,所以这个东西,手机入侵我觉得不错~~
好了,就这么多,以后补充
PS:文中介绍方法不得用于违法行为!!
来自:http://wenku.baidu.com/link?url=DTpyxMWfzmAXJKT41mVLFARnxH2LZEXRiR9M29SsPLQoHPNy7y5lTSTPK81Pk90REaDzn-hBY5CirFqbN6IFRzOYbe1jDp33ItIJcTTXPIy
url文件详解、恶意利用及其防范
首先,我们新建一个文本文档,“新建文本文档.txt“
重命名为”XX.url”——看到了什么???对,扩展名没了!!只剩下一个IE的icon图标了。并且最重要的是,右键重命名无法修改扩展名
这样我们就可以利用url文件来制作简单的
其实url文件的结构非常简单
头部:
[InternetShortcut]
正文:
URL=http://www.blackbap.com/bbs/index.php
Modified=F00F43B3A875C601D9
扩展:
IconFile=C:\WINDOWS\system32\SHELL32.dll /*后面接图标文件路径及文件*/
IconIndex=123 /*其中“iconindex=n”表示使用的图标是指定文件中的第几个图标*/
注:shell.dll里面放置了Windows自带的所有图标,可以使用eXeScope打开查看“资源”
头部不变,url=这一项我就不解释了
至于Modified记录页面最后修改时间的HTTP头信息的,只要位数对了就好了,注意字母大写!
作用跟我们个人没关系。多数用于搜索引擎的搜索。例如谷歌要看看以前抓去的页面是不是变化了,看看Modified值变了没有就好了
例如:
[InternetShortcut]
URL=http://www.blackbap.com/index.php
Modified=F00F43B3A875C601D9
恶意操作:
举个例子吧
iconfile=C:\windows\regedit.exe
iconindex=1
保存后刷新,看看,成了注册表了
如果我把它换成“我的电脑”图标,放到某机器上
跨刷流量啊
某番茄:奇怪,这是什么病毒,打开我的电脑就成了某网页,怎么搞得???
当然,如果这个url挂马了,呵呵,这个url文件不会被杀的,这东西,虽然没有流氓好用,但是用起来比流氓还流氓
有点:伪装性
缺点:易处理
解决方法:这还用我教??删掉呗!!
我见过华夏某广告毒,将“我的电脑”隐藏,居然放上url
删一次出一次,这东西还没法抑制再生!!唉~处理病毒母本都费劲——木本杀软不报,因为恶意程度不够!!只能手动清除,一次一次的用运行打开文件夹——麻烦!
因为“我的电脑”“我的文档”没有url,隐藏成他们再好不过了
url文件的扩展用法:
保存session
这个我就不详细讲了
例如百度wap贴吧wapp.baidu.com,手机登陆后有个"?sid=XXXXXXXXXXXXXXXXXXXXXXXXXXX"
这个东西以前存在漏洞,保存之后就相当于各手机登陆书签,存到手机后可用蓝牙互传——当然我说的这个用法是个例子,其实真正用起来不方便,再说现在百度已经修复了这个问题,用起来更麻烦
以上那一段当我没说好了!!
很多网站验证使用伪session验证的,所以这个东西,手机入侵我觉得不错~~
好了,就这么多,以后补充
PS:文中介绍方法不得用于违法行为!!
来自:http://wenku.baidu.com/link?url=DTpyxMWfzmAXJKT41mVLFARnxH2LZEXRiR9M29SsPLQoHPNy7y5lTSTPK81Pk90REaDzn-hBY5CirFqbN6IFRzOYbe1jDp33ItIJcTTXPIy
作者:jackxiang@向东博客 专注WEB应用 构架之美 --- 构架之美,在于尽态极妍 | 应用之美,在于药到病除
地址:http://jackxiang.com/post/7141/
版权所有。转载时必须以链接形式注明作者和原始出处及本声明!
评论列表