网页挂马
一、网页挂马介绍
(1)、挂马与网马
1、挂马
Ø从“挂马”这个词中就知道,它和“木马”脱离不了关系,的确,挂马的目的就是将木马传播出去
Ø黑客入侵了一些网站之后,将自己编定的网页木马嵌入到其网站的页面(能常是在网站主页)中,利用该网站的流量将自己的网页木马传播出去从页达到自己的目的
2、网马
Ø网马,即“网页木马”,就是将木马和网页结合在一起,当打开网页的时候就会自动下载并运行其木马程序
(2)、网页木马运行原理
Ø最初的网页木马就是利用了IE浏览器的ActiveX控件,在运行网页木马的时候会弹出一个控件下载提示,只有经过用户确认后才会运行其中的木马
Ø新型的木马通常利用IE浏览器存在的漏洞来传播网页木马
(3)、网页挂马步骤
a)申请网站空间:将木马程序和网马全部上传到该网站空间,使其可以被访问,假如申请成功后的网站空间地址为“http://www.xxx.com/xxx”
b)上传木马程序:上传完成后木马的访问地址为“http://www.xxx.com/horse.exe”
c)使用网页木马生成器生成网马:假如生成后网马地址为“http://www.xxx.com/horse.htm”
d)进行挂马:将生成后的网马地址嵌入到其他正常的网站页面,假如嵌入到腾讯的主页“http://www.qq.com/index.htm”
二、网页挂马的实现方式
(1)、iframe框架嵌入式挂马
要求如下:(利用iframe语句将网页木马嵌入到正常页面中)
网马地址:http://192.168.2.4/user.htm
创建名为hacker的管理员账户,开启远程桌面
iframe语句
参数解释
üsrc:网马链接地址
üwidth:框架的宽度
üheight:框架的高度
üframeborder:框架边框的显示方式
【结论】:
用户在打开正常页面的同时网马页面也会被运行,但是由于它的长和宽都设置为“0”,并且边框设置为“不显示”,所以很难被用户察觉,具有很强的隐蔽性。这种利用iframe框架嵌入的挂马方式是最早的一种挂马方式
(2)、JS文件调用挂马
1、JS文件调用
ØJS即JavaScript,是由Netscape公司开发的,可以直接运行于web浏览器中的脚本语言
Ø这种方式是通过JS文件来调用网马。这就需要先制作一个JS文件,然后再使用JavaScript脚本语言在正常页面中嵌入JS文件地址
【具体实现方法】:
a、在记事本中输入以下代码,然后将其保存为**.JS
b、将以下代码嵌入到正常页面中
2、JS文件加密变形
Ø当对方管理员发现JS文件后,就能够查看其源代码,从而发现网马地址,但是如果将JS文件进行了加密,网马地址便很难发现
Ø可以使用微软公司提供的Script Encoder对JS文件内容加密
【具体方法】:
a、安装Encoder工具,把它和**.JS脚本放置一起
b、加密必须在命令行下才能操作:
格式方法: 加密工具 **.js **.txt
c、将以下代码嵌入到正常页面中
(3)、JavaScript脚本挂马
JS脚本挂马也称窗口挂马,通过弹出新窗口的方法,调用木马
实现方法:将以下代码嵌入到正常页面中即可实现
(4)、Body挂马
使用Body方式挂马,可以在打开正常页面地址的时候,自动跳转到网马页面。
实现方法:
在正常页面中找到<body>标签,在body后面插入以下代码
(5)、其它挂马方式
Ø除了以上的几种方式外,还有诸如scrip调用、图片伪装等方式可以用来挂马
Ø但总的来说,都是使用了网页制作语言对正常页面进行修改,将网马地址嵌入其中
