首页
社区
课程
招聘
请问下,禁止javascript执行,卸载flash插件,禁止ActiveX插件后能中网马么?
发表于: 2012-2-20 16:56 5463

请问下,禁止javascript执行,卸载flash插件,禁止ActiveX插件后能中网马么?

2012-2-20 16:56
5463
今天跟一个朋友讨论到挂马的问题,他说禁止javascript执行,卸载flash插件,禁止ActiveX插件后机器就不能中马了。
我想了一下,假如我在网页上就单单挂了一个隐藏的Iframe框架,直接指向了带有shellcode的网马页面,这样的情况下可能中马么?
另外shellcode里面也需要javascript代码执行么?要是需要的话难道就不能写出完全不javascript的网马?
谢谢指教~

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 15
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
当然能中了。。。

IE有一个vml的漏洞,是栈溢出的,会改写返回地址。
一个方案是把返回地址改为0x0C0C0C0C,然后申请大量地址覆盖掉这个目标地址,
在里面装shellcode

嗯,不过这个方法当然只在没有打开DEP的IE中才有效。

打开了DEP的IE要利用这个漏洞要做JIT spray。。。

不过这个是个老漏洞了,应该早有补丁可以修补了。。

楼主说的iframe的漏洞倒是没听说过。。
2012-2-20 19:03
0
雪    币: 15
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
对了,这些漏洞利用工具貌似都是本地代码。。没听说过用js搞的。。

js只是一开始写shellcode到内存的一个跳板而已。
2012-2-20 19:05
0
雪    币: 160
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
呵呵,只是想搞明白禁止掉这些插件之后会不会中马,另外我提到的iframe框架是说之际在html里写行<iframe>xxxxxx</iframe>直接引用网马页面,就是htm页面(页面里面是shellcode)
2012-2-21 10:31
0
雪    币: 160
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
其实我是想知道shellcode里面要是完全没有js可以被网页解析执行么?应该是没问题吧,我看很多的网马里面js的作用要不就是引用要不就是判断,跟shellcode没有多大关系,也就是说我在网马里直接放shellcode不写什么下载木马啊、判断杀软一类的是可以直接让对方运行这段shellcode的吧~

另外谢谢您的耐心回复哦~
2012-2-21 10:34
0
雪    币: 15
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
我说的那个其实就是一个软件缺陷啊。

可以这样理解,IE的vml模块里面软件写错了。

正常情况下IE会因为试图执行一个无效的地址而崩溃退出。

如果你有意利用这个缺陷,就可以执行你事先复制到内存中的shellcode。

因此这里跟js的执行其实没有关系。

如果你能够预测到网页的内容会被IE加载到什么地址,
那么你可以构造一个X86指令序列作为网页内容。。
这样就完全避开了js部分。。。

这完全不是IE想要执行你的代码,而是IE自己有缺陷而不小心把EIP跑飞了而已。。
2012-2-21 16:39
0
雪    币: 1240
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
插件都屏蔽的话,你不能保证浏览器本身有没有漏洞
2012-2-21 17:27
0
雪    币: 2882
活跃值: (1267)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yjd
8
opera你的这招没效
2012-2-21 17:59
0
雪    币: 160
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
谢谢,明白了~多谢指教哈~
2012-2-22 21:55
0
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
关键还是人的问题,遇到很多菜鸟,ie被搞的一塌糊涂。
2012-2-27 17:02
0
游客
登录 | 注册 方可回帖
返回
//