网页挂马

一、网页挂马介绍

(1)、挂马与网马

1、挂马

Ø从“挂马”这个词中就知道,它和“木马”脱离不了关系,的确,挂马的目的就是将木马传播出去

Ø黑客入侵了一些网站之后,将自己编定的网页木马嵌入到其网站的页面(能常是在网站主页)中,利用该网站的流量将自己的网页木马传播出去从页达到自己的目的

2、网马

Ø网马,即“网页木马”,就是将木马和网页结合在一起,当打开网页的时候就会自动下载并运行其木马程序

(2)、网页木马运行原理

Ø最初的网页木马就是利用了IE浏览器的ActiveX控件,在运行网页木马的时候会弹出一个控件下载提示,只有经过用户确认后才会运行其中的木马

Ø新型的木马通常利用IE浏览器存在的漏洞来传播网页木马

(3)、网页挂马步骤

网页挂马的原理和实现方式_it


a)申请网站空间:将木马程序和网马全部上传到该网站空间,使其可以被访问,假如申请成功后的网站空间地址为“http://www.xxx.com/xxx”

b)上传木马程序:上传完成后木马的访问地址为“http://www.xxx.com/horse.exe”

c)使用网页木马生成器生成网马:假如生成后网马地址为“http://www.xxx.com/horse.htm”

d)进行挂马:将生成后的网马地址嵌入到其他正常的网站页面,假如嵌入到腾讯的主页“http://www.qq.com/index.htm”

二、网页挂马的实现方式

(1)、iframe框架嵌入式挂马

要求如下:(利用iframe语句将网页木马嵌入到正常页面中)

网马地址:http://192.168.2.4/user.htm

创建名为hacker的管理员账户,开启远程桌面

网页挂马的原理和实现方式_甘兵_02


iframe语句

网页挂马的原理和实现方式_it_03


参数解释

üsrc:网马链接地址

üwidth:框架的宽度

üheight:框架的高度

üframeborder:框架边框的显示方式

【结论】:

用户在打开正常页面的同时网马页面也会被运行,但是由于它的长和宽都设置为“0”,并且边框设置为“不显示”,所以很难被用户察觉,具有很强的隐蔽性。这种利用iframe框架嵌入的挂马方式是最早的一种挂马方式

(2)、JS文件调用挂马

1、JS文件调用

ØJS即JavaScript,是由Netscape公司开发的,可以直接运行于web浏览器中的脚本语言

Ø这种方式是通过JS文件来调用网马。这就需要先制作一个JS文件,然后再使用JavaScript脚本语言在正常页面中嵌入JS文件地址

【具体实现方法】:

a、在记事本中输入以下代码,然后将其保存为**.JS

网页挂马的原理和实现方式_it_04


b、将以下代码嵌入到正常页面中

网页挂马的原理和实现方式_it_05


2、JS文件加密变形

Ø当对方管理员发现JS文件后,就能够查看其源代码,从而发现网马地址,但是如果将JS文件进行了加密,网马地址便很难发现

Ø可以使用微软公司提供的Script Encoder对JS文件内容加密

【具体方法】:

a、安装Encoder工具,把它和**.JS脚本放置一起

b加密必须在命令行下才能操作:

格式方法: 加密工具  **.js  **.txt

c、将以下代码嵌入到正常页面中

网页挂马的原理和实现方式_JavaScript脚本挂马_06


(3)、JavaScript脚本挂马

   JS脚本挂马也称窗口挂马,通过弹出新窗口的方法,调用木马

实现方法:将以下代码嵌入到正常页面中即可实现

网页挂马的原理和实现方式_甘兵_07


(4)、Body挂马

使用Body方式挂马,可以在打开正常页面地址的时候,自动跳转到网马页面。

实现方法:

在正常页面中找到<body>标签,在body后面插入以下代码

网页挂马的原理和实现方式_甘兵_08


(5)、其它挂马方式

Ø除了以上的几种方式外,还有诸如scrip调用、图片伪装等方式可以用来挂马

Ø但总的来说,都是使用了网页制作语言对正常页面进行修改,将网马地址嵌入其中