网页挂马的原理和实现方式

网页挂马

一、网页挂马介绍

（1）、挂马与网马

1、挂马

Ø从“挂马”这个词中就知道，它和“木马”脱离不了关系，的确，挂马的目的就是将木马传播出去

Ø黑客入侵了一些网站之后，将自己编定的网页木马嵌入到其网站的页面（能常是在网站主页）中，利用该网站的流量将自己的网页木马传播出去从页达到自己的目的

2、网马

Ø网马，即“网页木马”，就是将木马和网页结合在一起，当打开网页的时候就会自动下载并运行其木马程序

（2）、网页木马运行原理

Ø最初的网页木马就是利用了IE浏览器的ActiveX控件，在运行网页木马的时候会弹出一个控件下载提示，只有经过用户确认后才会运行其中的木马

Ø新型的木马通常利用IE浏览器存在的漏洞来传播网页木马

（3）、网页挂马步骤

a)申请网站空间：将木马程序和网马全部上传到该网站空间，使其可以被访问，假如申请成功后的网站空间地址为“http://www.xxx.com/xxx”

b)上传木马程序：上传完成后木马的访问地址为“http://www.xxx.com/horse.exe”

c)使用网页木马生成器生成网马：假如生成后网马地址为“http://www.xxx.com/horse.htm”

d)进行挂马：将生成后的网马地址嵌入到其他正常的网站页面，假如嵌入到腾讯的主页“http://www.qq.com/index.htm”

二、网页挂马的实现方式

（1）、iframe框架嵌入式挂马

要求如下：（利用iframe语句将网页木马嵌入到正常页面中）

网马地址：http://192.168.2.4/user.htm

创建名为hacker的管理员账户，开启远程桌面

iframe语句

参数解释

üsrc：网马链接地址

üwidth:框架的宽度

üheight:框架的高度

üframeborder:框架边框的显示方式

【结论】：

用户在打开正常页面的同时网马页面也会被运行，但是由于它的长和宽都设置为“0”，并且边框设置为“不显示”，所以很难被用户察觉，具有很强的隐蔽性。这种利用iframe框架嵌入的挂马方式是最早的一种挂马方式

（2）、JS文件调用挂马

1、JS文件调用

ØJS即JavaScript，是由Netscape公司开发的，可以直接运行于web浏览器中的脚本语言

Ø这种方式是通过JS文件来调用网马。这就需要先制作一个JS文件，然后再使用JavaScript脚本语言在正常页面中嵌入JS文件地址

【具体实现方法】：

a、在记事本中输入以下代码，然后将其保存为**.JS

b、将以下代码嵌入到正常页面中

2、JS文件加密变形

Ø当对方管理员发现JS文件后，就能够查看其源代码，从而发现网马地址，但是如果将JS文件进行了加密，网马地址便很难发现

Ø可以使用微软公司提供的Script Encoder对JS文件内容加密

【具体方法】：

a、安装Encoder工具，把它和**.JS脚本放置一起

b、加密必须在命令行下才能操作：

格式方法： 加密工具  **.js  **.txt

c、将以下代码嵌入到正常页面中

（3）、JavaScript脚本挂马

   JS脚本挂马也称窗口挂马，通过弹出新窗口的方法，调用木马

实现方法：将以下代码嵌入到正常页面中即可实现

（4）、Body挂马

使用Body方式挂马，可以在打开正常页面地址的时候，自动跳转到网马页面。

实现方法：

在正常页面中找到<body>标签，在body后面插入以下代码

（5）、其它挂马方式

Ø除了以上的几种方式外，还有诸如scrip调用、图片伪装等方式可以用来挂马

Ø但总的来说，都是使用了网页制作语言对正常页面进行修改，将网马地址嵌入其中