1. 挂马定义
所谓的挂马,就是黑客通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day, 等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库"备份/恢复"或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP,然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒
其实我们说的所谓的挂马一般就是在那些可编辑文件下或是头部加入一段代码来实现跳转到别的网站访问那个他们指定的HTML网页木马
因为实现挂马的前提常常需要修改、或者写入新文件,所以WEBSHELL入侵或者老WEBSHELL的爆破/访问常常和挂马动作呈现时间先后关系
Relevant Link:
http://baike.baidu.com/link?url=bFYX3bWiveNhr1pROR1lVkQd8Qabj0uQmLkHdNRvdqcrXH5Wi7YhN-a6uKXXZST1UibuU_-hfl_7GC_jqjvzRa
2. 挂马方式
0x1: JS写入iframe挂马
1. bot.js: document.write(""); //width='100' height='100'全部设置为0表示完全隐藏该iframe 2. 将挂马js脚本放在一个黑客可控制的WEB服务器上,例如: http://114.55.36.222/bot/bot.js 3. 向目标网站目录下任意文件(常常是首页文件)插入js引入代码:
2. CSS写入iframe挂马
Body background-image在CSS中的主要功能是用来定义页面的背景图片。这是最典型的CSS挂马方式,这段恶意代码主要是通过"background-image"配合js代码让网页木马悄悄地在用户的电脑中运行
那如何将这段CSS恶意代码挂到正常的网页中去呢?黑客可以将生成好的网页木马放到自己指定的位置,然后将该段恶意代码写入挂马网站的网页中,或者挂马网页所调用的CSS文件中
1. 准备挂马页面: http://114.55.36.222/LittleHann/LittleHann.html 2. 向目标网站目录下任意文件(常常是首页文件)插入CSS引入代码
此方法会使主页不正常。返回一片空白,可以使用弹窗的方式进行改进
1. 准备挂马页面: http://114.55.36.222/LittleHann/LittleHann.html 2. 向目标网站目录下任意文件(常常是首页文件)插入CSS引入代码
改进一下弹框的时间