利用知名站点欺骗挂马

网络上有许多“钓鱼（Pushing）”式攻击，通过各种手段诱骗上网者浏览恶意的网站，导致各种网银或游戏帐号密码丢失。同样的，钓鱼式攻击也被用在欺骗性传播网页木马上。

6.2.1 利用Google图片搜索挂马

类似于Google、百度、TOM、新浪之类的大网站，许多用户还是非常放心的，因此在看到指向这些网站的链接时，许多用户往往都会放心的点击。然而这些大网站安全性并非那么十全十美，同样也可能被攻击者利用进行挂马攻击。

例如在某个论坛上，上网者看到一个名为“Google搜索到的隐蔽XX图”的帖子，其中有一个指向Google图片搜索的链接：

http://images.google.com/imgres?imgurl=色情&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W

由于此链接指向的是Google图片搜索，因此浏览毫不怀疑链接来源的安全性，点击链接后没有看到想看的图片，却遭受了木马攻击。

以Google为例，Google是全球最大的搜索引擎，同时Google拥有其他庞大的 WEB应用程序产品线，涉及EMAIL、BLOG、在线文档、个人主页、电子地图、论坛、RSS等互联网几乎所有的应用业务。然而在Google提供的图片搜索服务就存在一个安全问题。

在Google图片搜索结果页面中，点击某张图片，可打开一个图片预览页面。在页面上方显示有图片信息，下方的框架中则是显示的图片来源页面（图112）。

图112 图片预览页面

如果查看此时的Google图片预览页面链接地址，可发现形如：

http://images.google.com/imgres?imgurl=http://ladymetro.metroerimg.com/img/ladymetro/editor_pickup/2008_old/upload/image/parttime2/00zz0401.jpg&imgrefurl=http://www.ladymetro.com/fashion/content/4762&usg=__e930yGV25zCQ0nGbF9GpGQAS5xA=&h=478&w=300&sz=47&hl=zh-CN&start=147&tbnid=WAOJc3A1C4arwM:&tbnh=129&tbnw=81

其中“imgurl=”参数后是图片的真实链接地址，imgrefurl=参数后是图片来源页面链接地址，其它是一些附加参数。

此时，如果将imgrefurl=参数后的图片来源页面链接地址进行修改，就可让Google图片预览页面内嵌任意网页，包括木马网页。例如这里直接将任意Google图片预览页面链接地址中的imgrefurl=参数链接修改为百度链接地址，则在Google图片预览页面内嵌显示了百度首页（图113）。

图113 Google图片搜索挂马效果

当然，如果将百度链接换成木马网页的话，就会遭受木马网页攻击。不过这个链接地址太长了，而且参数比较多，容易让人起疑心，因此可以去掉其中一些不必要的参数，改写为如下形式：

http://images.google.com/imgres?imgurl=http://ladymetro.metroerimg.com/img/ladymetro/editor_pickup/2008_old/upload/image/parttime2/00zz0401.jpg&imgrefurl=http://www.baidu.com&tbnid=WAOJc3A1C4arwM:

其中的“imgurl=”参数后的图片链接地址也是可以省略为任意字符的，再次改写为如下形式：

http://images.google.com/imgres?imgurl=1&imgrefurl=http://www.baidu.com&tbnid=WAOJc3A1C4arwM:

“tbnid=”参数可以为任意字符，因此改写为如下形式（图114）：

http://images.google.com/imgres?imgurl=1.gif&imgrefurl=http://www.baidu.com&tbnid=W

图114

在进行挂马攻击时，攻击者当然不会直接写入网页的链接地址，那样太明显了。攻击者可以对网页木马链接地址进行转换，变成%16进制的形式，例如“http://www.baidu.com”可以转换为：

%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d

则挂马链接地址变为（图115）：

http://images.google.com/imgres?imgurl=1&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W

图115

这个挂马链接地址看难让人看出有什么问题，而且攻击者还可以对链接再进一步伪装，例：

http://images.google.com/imgres?imgurl=色情&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W

http://images.google.com/imgres?imgurl=sex&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W

或者直接将“imgurl=”参数后加上一张令人感兴趣的真实的图片链接地址，点击打开这个Google图片搜索链接时，确实显示了令人“兴奋”的图片，但同时也打开了木马网页。

书名：大中型网络入侵要案直击与防御

作者：肖遥 编著

ISBN 978-7-121-11740-4

出版日期：2010年10月

定价：79.00元

开本：16开

页码：624 页

作者简介

肖遥，网名“冰河洗剑”，国内著名网络安全技术独立研究人士。

曾从事国防军工设计，参与过J10A、J11B等战斗机配套武器研制，独立开发出HF25火箭发射器，参与DF8GA及导弹发射架等武器设计。

潜心钻研网络安全技术10余年，长期担任国内多家著名网站的安全顾问，专业从事网络渗透测试与网络风险评估。

长年在《黑客X档案》、《黑客防线》等国内安全专业媒体上与同行分享最新研究成果。出版有《网络渗透攻击与安防修炼》、《网站入侵与脚本安全攻防修炼》、《黑客大曝光》、《黑客攻防大揭秘》等多部安全类畅销技术专著。其中，《网站入侵与脚本安全攻防修炼》一书已输出至中国台湾等地。

内 容 简 介

本书以解析各种网络环境下攻防案例的形式来讲解各种网络攻击与防护技术，从“黑客攻击”与“安全工作者防守”双向角度来进行介绍。每一章节的内容按照如下脉络展开：典型攻防案例再现→案例的简单分析→黑客攻击技术的系统讲解→网管安全防护解决方案→入侵手法与防护难点深度分析。全书真实呈现完整的攻击与防护事件，可让读者了解到攻击者如何选择攻击目标，如何制订攻击方案，如何绕过攻击中碰到的问题，网管通常采用哪些防护手法，安全漏洞在何处，网管又如何追踪攻击者，等等，因此对学习者和工作者来说都很有吸引力和参考价值。

本书是网络管理员、信息安全管理员、对网络安全感兴趣的人员必备的参考书，也可供大中院校或培训学校教师和学生阅读和参考。