装后效果:你的真实的木马地址将会http://www.google.com/search?hr=zh-CN&q%%%% 这种形式的url,在浏览器输入述地址后将会直接转到你真实的木马地址。
作者:zdnet安全频道 来源:论坛整理 2008年9月18日
关键字: 木马 Google
伪装后效果:你的真实的木马地址将会http://www.google.com/search?hr=zh-CN&q%%%% 这种形式的url,在浏览器输入述地址后将会直接转到你真实的木马地址。
方法不怎么好,只是点想法,说出来交流交流。
今天在QQ个人主页那一栏想着个性一下,本人的blog地址比较长,呵呵,就是有点难看,所以就想着写个看起来比较牛的地址,呵呵(小孩子性格,别骂我),但是blog有个好处就是在GOOGLE里输入关键字后,是第一个出现的,呵呵,大家还记得GOOGLE有个手气不错那个功能吧,嘿嘿,就是这个,我们今天就利用这个伪装木马真实地址,原理就是当用户点击手气不错这个功能的时候,GOOGLE就会搜索关键字的出现第一个网络地址并将其自动转向。
我刚开始想的是,能不能直接看出来GOOGLE搜索并转向地址的url,结果经过尝试是不行的,浏览器栏目不显示,整个过程一直是http://www.google.com/intl/zh-CN/,而浏览器状态栏虽然显示了真实的url,可是是经过加密的,里面含有特殊字符,比如方框,再说你根本无法肉眼在那么短的时候记下那么长的url,所以我想到了监听工具呵呵,我用的是WinSock Expert ,监视GOOGLE所在的IE进程,然后输入关键字,比如hackbase,点击手气不错,OK,查看记录,结果出来了找到了,真实的url:
/search?hl=zh-CN&q=hackbase&btnI=%E6%89%8B%E6%B0%94%E4%B8%8D%E9%94%99&lr ,
即http://www.google.com/search?hl=zh-CN&q=hackbase&btnI=%E6%89%8B%E6%B0%94%E4%B8%8D%E9%94%99&lr ,
大家可以测试一下,在浏览器里输入上述地址以后就直接到www.hackbase.com了,看了一下,q=后面就是搜索的关键字,至于btni后面的,我估计是什么加密的什么东西,从输了个关键字,比如“电脑网络技术”呵呵,(我的blog啦),得出的地址是:
http://www.google.com/search?hl=zh-CN&q=%E7%94%B5%E8%84%91%E7%BD%91%E7%BB%9C%E6%8A%80%E6%9C%AF&btnI=%E6%89%8B%E6%B0%94%E4%B8%8D%E9%94%99&lr
说一下,输入汉字后google先经过unicode编码解码的,
%E7%94%B5%E8%84%91%E7%BD%91%E7%BB%9C%E6%8A%80%E6%9C%AF就是“电脑网络技术编码解码后的,比较一下,看见没,btni后面的东西一模一样的,都是
%E6%89%8B%E6%B0%94%E4%B8%8D%E9%94%99&lr呵呵,我很菜的,不知道这个是什么东西,希望知道的给我说一声哈,谢谢咯。我估计就是手气不错这个功能必须的吧,呵呵。
(这段跟文章主题没关系呵呵,只是点想法),于是我想着,我就把q后面的东西给改成后面的
%E6%89%8B%E6%B0%94%E4%B8%8D%E9%94%99&lr,得到一个url:
http://www.google.com/search?hl=zh-CN&q=%E6%89%8B%E6%B0%94%E4%B8%8D%E9%94%99&btnI=%E6%89%8B%E6%B0%94%E4%B8%8D%E9%94%99&lr ,在浏览器里打开,呵呵,等了半天什么都没有,网页无法显示,这不奇怪,早就料到了,可是奇怪的是,在你打开上述url后,你的IE在一段时间内就无法打开google了,连www.google.com都不行,不信你试试,我感觉是google的什么过滤禁止功能,不清楚,希望知道的给我说一下谢咯。
接着文章主题,下来你要做的是,构造一个关键字,使得在google里输入你的关键字后会是第一出现的网站,这个嘛,申请一个空间存放木马,然后把站点进行优化,大家可以看看相关的google优化,我感觉也不是怎么难,比如把你站点首页的meta和文章标题title标签设置一个别人没有关键字的,比如mytestgoogle,然后在google上提交,这样速度快些,过些时间,在google里输入mytestgoogle就会发现第一就是你的站点了呵呵,然后伪造你的木马地址成:http://www.google.com/search?hl=zh-CN&q=你的关键字&btnI=%E6%89%8B%E6%B0%94%E4%B8%8D%E9%94%99&lr,在浏览器里输入上述地址后就直接转到你的木马地址了,因为大多数多google搜索还是很信任的,认为这样一个地址肯定只是一个google的搜索页面而已,呵呵。这样就有效的隐藏了你的木马地址。