最近剛出了一部新片“防火墻”，這是一部有關黑客的電影，所謂“外行看熱鬧，內行看門道”，從劇中我們可能看到一項黑客技術的威力——那就是社會工程學！由于“防火墻”的啟發，我對下載軟件“迅雷”進行分析，成功捕獲了大量的肉雞！

    一、攻擊前奏

    迅雷是一個集成了P2P功能的下載軟件，下載速度快，提供了用戶注冊功能，在線時長達到一定時間的用戶可以在“雷區”發布資源，共享給其他用戶下載（如圖1）。

圖1

    首先我們需要準備一個木馬文件用于上傳到雷區，由于雷區發布的資源大部分都是壓縮包文件或者視頻，因此可以考慮制作一個自解壓運行木馬的壓縮包文件，也可以將木馬與其它程序捆綁在一起，然后打包壓縮。不過為了更具攻擊隱藏性，同時為了說明后面社會工程學的利用，筆者在這里制作了一個Realplayer視頻木馬。

    這個視頻木馬利用了RealPlayer的“.smil文件處理緩沖區溢出漏洞”，當別人播放時會造成溢出，我們就可以連接控制對方的主機。首先將溢出程序“real.exe”下載，在“運行”中輸入CMD打開命令提示符窗口，進入溢出程序所在的文件夾。溢出程序的命令格式為：“real.exe<生成文件名>”；
其中生成的文件名是.smil后綴的視頻文件，這里直接輸入“real.exe美女的激情視頻.smil”，命令執行后提示：

    "File written.Binds a shell on port 13579.Open with realplayer to exploit."（如圖2）；
程序執行后已經生成了一個溢出媒體文件“美女的激情視頻.smil”，只要存在漏洞的Realplayer程序打開此媒體文件，就會造成溢出并開放13579端口。

二、竊取迅雷帳號

    首先我們先將這個視頻上傳到任意一個空間，比如這里筆者上傳到了Google的個人主頁空間里面。然后用迅雷將視頻下載到本地，在迅雷的下載任務框中，可以看到已下載的文件列表“雷區”欄中有一個“發布”鏈接。點擊菜單“雷區”→“進入雷區”，打開迅雷帳號登錄對話框，輸入自己注冊的用戶名和密碼，登錄后在左側的“雷友信息”中可以看到自己的積分和等級。如果是少校軍銜就可以直接點擊“發布”鏈接，或者點擊右鍵，選擇彈出菜單中的“發布到雷區”命令，將剛才下載的美女視頻發布到迅雷的公共資源區（如圖3）。

圖3

    小提示由于迅雷官方為了防止發布的資源混亂，因此只有少校以上軍銜的雷友可以點擊“發布”鏈接發布資源。如果你的軍銜低，就要破解一個少校用戶來發布資源了。

    在程序界面右側的“熱門推薦”中點擊“更多”按鈕，用IE打開雷區資源發布頁面，在頁面中顯示了公共下載資源類別以及每個分類下詳細的資源信息（如圖4）。在資源信息中找到“資源來源”欄，可以看到發布資源的迅雷用戶帳號，這些帳號肯定都是少校以上級別的。只要盜取其中的某一個帳號，就可以將視頻木馬上傳到雷區了。

圖4

    1.弱口令破解法

    許多用戶在注冊帳號時為了圖方便，往往將密碼設置為“111111”或“123456”之類的弱口令，因此我們可以用猜測密碼的方法破解列表中的用戶帳號�？梢砸粋�一個的試，筆者只用了十多分鐘就測試到有4個用戶使用的密碼為“123456”。

    2.密碼找回法

    一些用戶在注冊時設置了密碼找回功能，這類用戶的密碼往往設置得較為安全，不易猜測。不過如果你有細心與想象力，密碼找回功能也可以破解出密碼。以筆者為例，在用戶列表中看到有一個名為“anshiwei”的用戶，很明顯示這串字符肯定是用戶真實姓名的漢語拼音（如圖5）。于是先嘗試用“123456”登錄，結果沒有成功。再點擊登錄框中的“忘記密碼”按鈕，選擇“回答問題找回密碼”方式。點擊下一步，輸入要破解的用戶名“anshiwei”，彈出問題回答對話框。問題是“你的姓名是什么？”（如圖6），很明顯可以利用該用戶姓名的漢語拼音推出漢字來——不是“安世偉”，就是“安世威”、“安寺偉”之類的，反正總不可能是“俺是萎”吧？呵呵！回答問題只能三次，如果答案錯誤的話，可以返回登錄窗口，再次使用“忘記密碼”功能重新猜測。

圖5

圖6

　　三、發布木馬

    用破解來的帳號登錄后，就可以發布視頻了，因為生成的.smil木馬體積比較小，所以我就用WinRAR將視頻打包壓縮，然后再將一個真實的視頻文件改名成“登錄我們的視頻網站.html”，將其添加到壓縮包中，這樣壓縮包的體積大小看起來就正常了。然后在迅雷中選擇該文件，點擊“發布”，在彈出的發布對話框中設置各種信息，點擊“確定”按鈕即可將視頻木馬發布到雷區了（如圖7）。

圖7

    四、鎖定肉雞

    因為發布視頻的都是使用迅雷時間較長的用戶，視頻來源相對是比較可靠的，加上我們為視頻起的名字很有誘惑力，因此剛才發布的視頻很快就會被別人下載觀看。別人打開“美女的激情視頻.smil”文件后，就會造成溢出并打開系統13579端口。直接使用Telnet就可以登錄控制遠程主機，命令為：“telnet 遠程主機IP地址 13579”。

    可是我們這里是采用溢出的攻擊方式，而不是讓木馬自動反彈連接，那么我們該如何才能得知遠程主機的IP地址呢？稍微細心一點，到資源發布頁面中查看一下別人對該視頻的回復，就可以看到下載者的IP地址了（如圖8）。拿出掃描器掃描一下子相應的IP段開放了“13579”端口的主機，那臺主機就是你的小肉雞啦！——當然，如果你發布的是其它反彈木馬之類的，那么尋找控制肉雞就更簡單了！
real溢出程序 下載地址：http://download2.77169.net/200503/050311realplay.rar

圖8