對黑客攻防之網頁掛馬攻防全接觸的詳細介紹
黑客攻防之網頁掛馬攻防全接,頁掛馬是攻擊者慣用的入侵手段,一旦遭受其攻擊,其后果不僅讓站點管理者蒙羞,而且其殃及池魚的特點使站點的瀏覽者遭殃。不管是站點維護者還是個人用戶,掌握、了解一定的網頁掛馬及其防御技術是非常必要的。
網頁掛馬是攻擊者慣用的入侵手段,其影響極其惡劣。不僅讓站點管理者蒙羞,而且殃及池魚使站點的瀏覽者遭殃。不管是站點維護者還是個人用戶,掌握、了解一定的網頁掛馬及其防御技術是非常必要的。
1、關于網頁掛馬
網頁掛馬就是攻擊者通過在正常的頁面中(通常是網站的主頁)插入一段代碼。瀏覽者在打開該頁面的時候,這段代碼被執行,然后下載并運行某木馬的服務器端程序,進而控制瀏覽者的主機。
2、獲取Webshell
攻擊者要進行網頁掛馬,必須要獲取對站點文件的修改權限,而獲取該站點Webshell是最普遍的做法。
其實可供攻擊者實施的攻擊手段比較多,比如注入漏洞、跨站漏洞、旁注漏洞、上傳漏洞、暴庫漏洞和程序漏洞都可被利用。下面就列舉一個當前比較流行的eWEBEditor在線HTML編輯器上傳漏洞做個演示和分析。
1).網站入侵分析
eWEBEditor是一個在線的HTML編輯器,很多網站都集成這個編輯器,以方便發布信息。低版本的eWEBEditor在線HTML編輯器,存在者上傳漏洞,黑客利用這點得到WEBSHELL(網頁管理權限)后,修改了網站,進行了掛馬操作。
其原理是:eWEBEditor的默認管理員頁面沒有更改,而且默認的用戶名和密碼都沒有更改。攻擊者登陸eWEBEditor后,添加一種新的樣式類型,然后設置上傳文件的類型,加入asp文件類型,就可以上傳一個網頁木馬了。(圖1)
2).判斷分析網頁漏洞
(1).攻擊者判斷網站是否采用了eWEBEditor的方法一般都是通過瀏覽網站查看相關的頁面或者通過搜索引擎搜索類似"ewebeditor.asp?id="語句,只要類似的語句存在,就能判斷網站確實使用了WEB編輯器。
(2).eWEBEditor編輯器可能被黑客利用的安全漏洞:
a.管理員未對數據庫的路徑和名稱進行修改,導致黑客可以利用編輯器默認路徑直接對網站數據庫進行下載。
b.管理員未對編輯器的后臺管理路徑進行修改導致黑客可以通過數據庫獲得的用戶名和密碼進行登陸。或者是默認密碼。直接進入編輯器的后臺。
c.該WEB編輯器上傳程序存在安全漏洞。
分析報告指出:網站的admin路徑下發現cer.asp網頁木馬,經分析為老兵的網頁木馬。(加密后依舊能通過特征碼分辨,推薦網站管理員使用雷客ASP站長安全助手,經常檢測網站是否被非法修改。)
3、揭秘幾種最主要的掛馬技術
(1).iframe式掛馬
網頁木馬被攻擊者利用iframe語句,加載到任意網頁中都可執行的掛馬形式,是最早也是最有效的的一種網絡掛馬技術。通常的掛馬代碼如下:
解釋:在打開插入該句代碼的網頁后,就也就打開了http://www.xxx.com/muma.html頁面,但是由于它的長和寬都為“0”,所以很難察覺,非常具有隱蔽性。下面我們做過做個演示,比如在某網頁中插入如下代碼:
在“百度”中嵌入了“IT專家網安全版塊”的頁面,效果如圖2。
(2).js腳本掛馬
js掛馬是一種利用js腳本文件調用的原理進行的網頁木馬隱蔽網頁掛馬技術,如:黑客先制作一個。js文件,然后利用js代碼調用到掛馬的網頁。通常代碼如下:
http://www.xxx.com/gm.js就是一個js腳本文件,通過它調用和執行木馬的服務端。這些js文件一般都可以通過工具生成,攻擊者只需輸入相關的選項就可以了,如圖3就是一個JS木馬的代碼。(圖3)
(3).圖片偽裝掛馬
隨著防毒技術的發展,黑手段也不停地更新,圖片木馬技術逃避殺毒監視的新技術,攻擊者將類似:http://www.xxx.com/test.htm中的木馬代碼植入到test.gif圖片文件中,這些嵌入代碼的圖片都可以用工具生成,攻擊者只需輸入相關的選項就可以了,如圖4.圖片木馬生成后,再利用代碼調用執行,是比較新穎的一種網頁掛馬隱蔽方法,實例代碼如:
注:當用戶打開http://www.xxx.com/test.htm是,顯示給用戶的是http://www.xxx.com/test.jpg,而http://www.xxx.com/test.htm網頁代碼也隨之運行
【編輯推薦】
