|
|
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
0x00 前言
微信内置浏览器和Edge、Chrome等均会报毒,刷新1次报1次,引起了我的好奇心,所以去研究了下。
0x01 分析过程
根据报毒提示在浏览器的缓存目录找到这个缓存文件(每个浏览器缓存目录稍有不同),结果我们在这个文件底部发现确实存在一个中国菜刀.NET一句话木马。
LOCALAPPDATA%MicrosoftEdgeUser DataDefaultCacheCache_DataChrome:
LOCALAPPDATA%GoogleChromeUser DataDefaultCacheCache_Data微信内置浏览器:
APPDATA%TencentWeChatradiumwebprofilesmultitabCacheCache_Data微信内置浏览器1:
APPDATA%TencentWeChatradiumwebprofilesmultitab_9720c848233b29215591c3c40663f826CacheCache_Data
翻到文件顶部看到它的文件头为JFIF,这是个图片文件,将这个缓存文件扩展名改为JFIF,可以看到一个狗头的图片,这一看就是某个师傅用的头像...。
我们再去浏览器访问某团SRC官网看下请求,找到这个图片文件为:bac406ed86974777bd5b119fa950c424.jfif,将这个文件下载到本地验证下。
在下图中可以看到这两个文件的大小一致,而且底部都有中国菜刀.NET一句话木马,确定就是它的问题了。
0x02 报毒原因
某团SRC在上传头像时没有对图片进行处理,@白发戴花君莫笑 师傅用的图片一句话木马做头像,浏览器访问首页或荣誉榜页面时就会将他这个头像文件缓存到本地,从而触发Windows Defender报毒。
注:缓存下来的这个图片一句话木马的文件只是在缓存目录下,它没有扩展名,也不在Web目录,所以是不会被解析的,这样的报毒完全没有什么影响。
关注我们
还在等什么?赶紧点击下方名片开始学习吧!
信 安 考 证
|
CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001... |
推 荐 阅 读
原文始发于微信公众号(潇湘信安):关于访问某团SRC报毒的简单分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论