合肥網(wǎng)頁(yè)制作與設(shè)計(jì)培訓(xùn)|合肥網(wǎng)站設(shè)計(jì)培訓(xùn)班 易學(xué)

合肥網(wǎng)頁(yè)制作與設(shè)計(jì)培訓(xùn)|合肥網(wǎng)站設(shè)計(jì)培訓(xùn)班|合肥易學(xué)電腦培訓(xùn)--資深黑客詳談網(wǎng)頁(yè)木馬 網(wǎng)頁(yè)木馬的攻擊原理 網(wǎng)頁(yè)木馬實(shí)際上是一個(gè)HTML網(wǎng)頁(yè),與其它網(wǎng)頁(yè)不同的是該網(wǎng)頁(yè)是黑客精心制作的,用戶(hù)一旦訪問(wèn)了該網(wǎng)頁(yè)就會(huì)中木馬.為什么說(shuō)是黑客精心制作的呢?因?yàn)榍度朐谶@個(gè)網(wǎng)頁(yè)中的腳本恰如其分地利用了IE瀏覽器的漏洞,讓IE在后臺(tái)自動(dòng)下載黑客放置在網(wǎng)絡(luò)上的木馬并運(yùn)行(安裝)這個(gè)木馬,也就是說(shuō),這個(gè)網(wǎng)頁(yè)能下載木馬到本地并運(yùn)行(安裝)下載到本地電腦上的木馬,整個(gè)過(guò)程都在后臺(tái)運(yùn)行,用戶(hù)一旦打開(kāi)這個(gè)網(wǎng)頁(yè),下載過(guò)程和運(yùn)行(安裝)過(guò)程就自動(dòng)開(kāi)始. 打開(kāi)一個(gè)網(wǎng)頁(yè),IE瀏覽器不會(huì)自動(dòng)下載程序和運(yùn)行程序,這是因?yàn)?為了安全,IE瀏覽器是禁止自動(dòng)下載程序特別是運(yùn)行程序的,但是,IE瀏覽器存在著一些已知和未知的漏洞,網(wǎng)頁(yè)木馬就是利用這些漏洞獲得權(quán)限來(lái)下載程序和運(yùn)行程序的.下面列舉一些IE瀏覽器等存在的漏洞來(lái)分別說(shuō)明為什么利用網(wǎng)頁(yè)木馬可以下載程序和運(yùn)行程序. 1.下載可執(zhí)行文件. index里有一個(gè)代碼漏洞,IE會(huì)把可執(zhí)行文件誤認(rèn)為CSS樣式表而下載到IE的臨時(shí)文件目錄. 也可以利用這段代碼,把這段代碼插入到網(wǎng)頁(yè)源代碼的h之間,運(yùn)行后就會(huì)發(fā)現(xiàn)在IE的臨時(shí)目錄Temporary Internet Files下,已經(jīng)下載了1.exe這個(gè)病毒文件. 2.自動(dòng)運(yùn)行程序 把這段代碼插入到網(wǎng)頁(yè)源代碼的h之間,然后用IE打開(kāi)該網(wǎng)頁(yè),這段代碼可以在IE中自動(dòng)打開(kāi)記事本. 這段代碼使用了shell.application控件,該控件能使網(wǎng)頁(yè)獲得執(zhí)行權(quán)限,替換代碼中的"Notepad.exe"(記事本)程序,就可以用它自動(dòng)運(yùn)行本地電腦上的任意程序. 通過(guò)以上的例子可以看出,利用IE的漏洞,在網(wǎng)頁(yè)中插入相關(guān)的代碼,IE完全可以自動(dòng)下載和運(yùn)行程序. 三、可能被網(wǎng)頁(yè)木馬利用的漏洞 1.利用URL格式漏洞 此類(lèi)網(wǎng)頁(yè)木馬是利用URL格式漏洞來(lái)欺騙用戶(hù).構(gòu)造一個(gè)看似JPG格式的文件誘惑用戶(hù)下載,但事實(shí)上用戶(hù)下載的卻是一個(gè)EXE文件. 此類(lèi)攻擊,具有相當(dāng)?shù)碾[蔽性,利用URL欺騙的方法有很多種,比如起個(gè)具有誘惑性的網(wǎng)站名稱(chēng)或使用易混的字母數(shù)字掉包進(jìn)行銀行網(wǎng)絡(luò)釣魚(yú),還有漏洞百出的"%30%50"之類(lèi)的Unicode編碼等等,現(xiàn)在列舉比較常見(jiàn)的幾種方法: (1).@標(biāo)志過(guò)濾用戶(hù)名的解析 本來(lái)@標(biāo)志是E-mail地址的用戶(hù)名與主機(jī)的分隔符,但在URL中同樣適用,而且功能如出一轍.HTTP(超文本傳輸協(xié)議)規(guī)定了URL的完整格式是":地址或主機(jī)名",其中的"IP地址或主機(jī)名"是必填項(xiàng).@標(biāo)志與其前面的"",意為"用戶(hù)名:密碼",屬于可選項(xiàng).也就是說(shuō),在URL中真正起解析作用的網(wǎng)址是從@標(biāo)志后面開(kāi)始的,這就是欺騙原理. 比如用戶(hù)訪問(wèn)"/HuiGeZi_Server.exe",從表面上看,這是新浪網(wǎng)提供的一個(gè)鏈接,用戶(hù)會(huì)認(rèn)為這是一個(gè)無(wú)害的鏈接,而點(diǎn)擊,而實(shí)際上 ""只是個(gè)寫(xiě)成新浪網(wǎng)址形式的用戶(hù)名(此處的密碼為空),因?yàn)楹竺嬗蠤標(biāo)志.而真正鏈接的網(wǎng)址卻是"" 也就是說(shuō)這個(gè)發(fā)來(lái)的URL地址其實(shí)完全等同于" ,而與前面的用戶(hù)名毫無(wú)關(guān)系,只是迷惑性可就大大提高了.即使沒(méi)有這個(gè)用戶(hù)名,也完全不影響瀏覽器對(duì)URL的解析.(2).十進(jìn)制的IP地址 常見(jiàn)的IP地址包括四個(gè)字節(jié),一般表示形式為"xxx.xxx.xxx.xxx"(x表示一個(gè)十進(jìn)制數(shù)碼),例如"61.135.132.12".因?yàn)閿?shù)字IP地址較長(zhǎng),且過(guò)于抽象、難以記憶,所以采用域名服務(wù)DNS來(lái)與之對(duì)應(yīng).在瀏覽器地址欄中輸入".sohu.com"與""的結(jié)果完全一樣,都是訪問(wèn)搜狐網(wǎng)站,因?yàn)?1.135.132.12就是搜狐域名的IP地址.不過(guò),用訪問(wèn)的話,仍然可以打開(kāi)搜狐網(wǎng)站,這是因?yàn)?四位點(diǎn)分十進(jìn)制形式的IP地址"61.135.132.12"代表一組32位二進(jìn)制數(shù)碼,如果合在一起再轉(zhuǎn)換成一個(gè)十進(jìn)制數(shù)的話,答案就是1032291340.轉(zhuǎn)換方法,就是數(shù)制的按權(quán)展開(kāi):12t2560+132t2561+135t2562+61t2563=12+33792+8847360+1023410176=1032291340(基數(shù)為256,即28).在上文的例子中提到了"".這種字母域名有時(shí)還能被用戶(hù)識(shí)破,而在把它對(duì)應(yīng)的IP地址(假設(shè)為"61.135.132.13")換算成一個(gè)十進(jìn)制數(shù)后,結(jié)果是1032291341,再結(jié)合@標(biāo)志過(guò)濾用戶(hù)的解析,就會(huì)變成這樣的地址,這樣就更加隱蔽了. (3).虛假的網(wǎng)址,網(wǎng)絡(luò)釣魚(yú)者注冊(cè)一個(gè)域名和真實(shí)網(wǎng)站域名十分相似的網(wǎng)址,其用戶(hù)界面也和真實(shí)網(wǎng)站頁(yè)面非常相似,然后不URL提供給用戶(hù),那么一般的用戶(hù)被引導(dǎo)到這樣的虛擬網(wǎng)址上是難以察覺(jué)的,攻擊者也就可以利用該網(wǎng)頁(yè)來(lái)誘導(dǎo)用戶(hù)輸入自己的個(gè)人身份信息,達(dá)到竊取的目的,例如真實(shí)網(wǎng)站域名是,偽造網(wǎng)站域名是,一個(gè)是小寫(xiě)的"L",一個(gè)是數(shù)字"1",域名服務(wù)器將解析到完全不同的IP地址上,但用戶(hù)很難看出來(lái).再如真實(shí)網(wǎng)站的域名是,而虛假網(wǎng)站使用域名,很多人也無(wú)法判斷 (4).更隱蔽的方法,是根據(jù)超文本標(biāo)記語(yǔ)言的規(guī)則,可以對(duì)文字制作超鏈接,這樣就使網(wǎng)絡(luò)釣魚(yú)者有機(jī)可乘.例如文件源代碼可以寫(xiě)成:"".這樣,屏幕上顯示的是xxxbank的網(wǎng)址,而實(shí)際卻鏈接到了xxbank的虛假網(wǎng)站. (5).采用偽裝手段.可以在瀏覽器打開(kāi)虛假網(wǎng)站的時(shí)候,彈出一個(gè)很隱蔽的小圖像,正好覆蓋在瀏覽器顯示網(wǎng)址的地方,該小圖像顯示被仿冒的網(wǎng)站的真實(shí)域名,而瀏覽器真正訪問(wèn)的地址被掩蓋在下面. (6).虛假的彈出窗口.一些虛假網(wǎng)站會(huì)將用戶(hù)轉(zhuǎn)移到真實(shí)的網(wǎng)址,但是轉(zhuǎn)移之前制造假冒的彈出窗口,提示用戶(hù)進(jìn)行個(gè)人登陸的操作,很多用戶(hù)會(huì)誤認(rèn)為這些彈出窗口是網(wǎng)站的一部分而進(jìn)一步按照提示操作,直到透露出自己的個(gè)人身份信息. (7).可以利用瀏覽器漏洞竊取個(gè)人信息,如IE就曾暴露出一個(gè)漏洞,該漏洞使攻擊者可以在垃圾郵件中構(gòu)造一種數(shù)據(jù),用戶(hù)點(diǎn)擊后便可使IE瀏覽器顯示的網(wǎng)址與實(shí)際訪問(wèn)的網(wǎng)址不同.采用這種方式進(jìn)行攻擊,欺騙性更好,可以通過(guò)向用戶(hù)發(fā)送包含URL的垃圾郵件的方式,誘騙用戶(hù)點(diǎn)擊,用戶(hù)如果不檢查郵件的原始代碼,根本無(wú)法知道自己被瀏覽器欺騙了. (8).黑客程序可以修改用戶(hù)計(jì)算機(jī)中的HOSTS文件,將特定域名的IP地址設(shè)置成自己的虛假網(wǎng)站的地址,用戶(hù)訪問(wèn)這些網(wǎng)站時(shí),機(jī)器會(huì)從HOSTS文件中獲得對(duì)應(yīng)的IP.除了上面的方法外,更為隱蔽和目前常用的攻擊手法是,攻擊者首先攻破一個(gè)正常的網(wǎng)站,然后修改網(wǎng)站的代碼,通過(guò)跳轉(zhuǎn)語(yǔ)句或嵌入JS腳本的手段,來(lái)改造一個(gè)掛馬的網(wǎng)站,這樣當(dāng)用戶(hù)點(diǎn)擊了包含正常網(wǎng)站的URL時(shí),是不會(huì)有戒備心理的,更容易造成更大的損失. 2.通過(guò)ActiveX控件制作網(wǎng)頁(yè)木馬. 通過(guò) ActiveX 把普通的軟件轉(zhuǎn)化為可以在主頁(yè)直接執(zhí)行的軟件的網(wǎng)頁(yè)木馬,此類(lèi)網(wǎng)頁(yè)木馬對(duì)所有的系統(tǒng)和IE版本都有效,缺點(diǎn)是瀏覽網(wǎng)頁(yè)木馬時(shí)會(huì)彈出對(duì)話框,詢(xún)問(wèn)是否安裝此插件.病毒作者通常是偽造微軟、新浪、Google等*公司的簽名,偽裝成它們的插件來(lái)迷惑用戶(hù). 3.利用WSH的缺陷 利用WSH修改注冊(cè)表,使IE安全設(shè)置中"沒(méi)有標(biāo)記為安全的的activex控件和插件"的默認(rèn)設(shè)置改為啟用,然后再利用一些可以在本地運(yùn)行EXE程序的網(wǎng)頁(yè)代碼來(lái)運(yùn)行病毒.它的危害在于,可以利用IE的安全漏洞提升權(quán)限達(dá)到本地運(yùn)行任意程序的后果. 4.利用MIME漏洞制做的網(wǎng)頁(yè)木馬. 它利用了Microsoft Internet Explorer中MIME/BASE64處理的漏洞,MIME(Multipurpose Internet Mail Extentions),一般譯作"多用途的網(wǎng)絡(luò)郵件擴(kuò)充協(xié)議".顧名思義,它可以傳送多媒體文件,在一封電子郵件中附加各種格式文件一起送出.現(xiàn)在它已經(jīng)演化成一種指定文件類(lèi)型(Internet的任何形式的消息:E-mail,Usenet新聞和Web)的通用方法.在使用CGI程序時(shí)你可能接觸過(guò)MIME類(lèi)型,其中有一行叫作Content-type的語(yǔ)句,它用來(lái)指明傳遞的就是MIME類(lèi)型的文件(如text/html或text/plain).MIME在處理不正常的MIME類(lèi)型時(shí)存在一個(gè)問(wèn)題,攻擊者可以創(chuàng)建一個(gè)Html格式的E-mail,該E-mail的附件為可執(zhí)行文件,通過(guò)修改MIME頭,使IE不能正確處理這個(gè)MIME所指定的可執(zhí)行文件附件.IE處理附件的方式:一般情況下如果附件是文本文件,IE會(huì)讀取文件,如果是VIDEO CLIP,IE會(huì)查看文件;如果附件是圖形文件,IE就會(huì)顯示文件;如果附件是一個(gè)EXE文件呢?IE會(huì)提示用戶(hù)是否執(zhí)行,但當(dāng)攻擊者更改MIME類(lèi)型后,IE就不再提示用戶(hù)是否執(zhí)行而直接運(yùn)行該附件.從而使攻擊者加在附件中的程序,攻擊命令能夠按照攻擊者設(shè)想的情況進(jìn)行.在Win9X\ME以及WinNT4和Win2000下的Internet Explorer 5.0、5.01、5.5均存在該漏洞,微軟郵件客戶(hù)端軟件Outlook Express也存在此漏洞. 5.利用系統(tǒng)的圖片處理漏洞 這是種只要瀏覽圖片就可以傳播的網(wǎng)頁(yè)木馬.這種木馬是把一個(gè)EXE文件偽裝成一個(gè)BMP或JPG圖片文件,在網(wǎng)頁(yè)中添加如的代碼來(lái)欺騙IE自動(dòng)下載,然后利用網(wǎng)頁(yè)中的Java Script腳本查找客戶(hù)端的Internet臨時(shí)文件夾,尋找下載的BMP格式文件,把它拷貝到TEMP目錄.再利用腳本把找到的BMP文件用DEBUG還原成EXE,并添加到注冊(cè)表啟動(dòng)項(xiàng)中,達(dá)到隨系統(tǒng)的目的. 6.HTML文件木馬 首先利用工具把EXE格式的文件轉(zhuǎn)化成HTML文件的木馬,這樣.EXE文件看起來(lái)就變成了Htm文件,欺騙訪問(wèn)者訪問(wèn)假冒的Htm文件從而達(dá)到運(yùn)行病毒的目的.它和BMP網(wǎng)頁(yè)木馬運(yùn)用了同一個(gè)原理,也會(huì)利用JAVASCRIPT腳本和debug程序來(lái)轉(zhuǎn)換回EXE文件. 7.Hta木馬 Hta網(wǎng)頁(yè)木馬,是利用Internet Explorer Object Data(MS03-032)漏洞制作的網(wǎng)頁(yè)木馬,此漏洞是因?yàn)镮nternet Explorer在處理對(duì)象"Object"標(biāo)記時(shí)沒(méi)有正確處理要被裝載的文件參數(shù).("Object"標(biāo)記用于插入ActiveX組件等對(duì)象到HTML頁(yè)面."Object"標(biāo)記的"Type"屬性用于設(shè)置或獲取對(duì)象的MIME類(lèi)型.通常合法MIME類(lèi)型包括"plain/text"或"application/hta", "audio/x-mpeg"等.)Internet Explorer指定遠(yuǎn)程對(duì)象數(shù)據(jù)位置的參數(shù)沒(méi)有充分檢查被裝載的文件屬性,攻擊者可以構(gòu)建惡意頁(yè)面,誘使用戶(hù)訪問(wèn)來(lái)運(yùn)行惡意頁(yè)面指定的程序 . 8.利用CHM格式漏洞. 這種網(wǎng)頁(yè)木馬首先創(chuàng)建一個(gè)Htm文件,包含如下代碼: Microsoft Internet Explorer javaprxy.dll COM Object Remote Exploit 四、網(wǎng)頁(yè)木馬的基本用法 理解了網(wǎng)頁(yè)木馬攻擊的原理,以及常用的漏洞,就可以寫(xiě)出相關(guān)的利用代碼.制作出網(wǎng)頁(yè)木馬,然后就是傳播網(wǎng)頁(yè)木馬,目前網(wǎng)頁(yè)木馬的主要傳播途徑是: 1.通過(guò)IM及時(shí)聊天軟件傳播 將包含網(wǎng)頁(yè)木馬的地址(網(wǎng)址)通過(guò)QQ等聊天軟件在網(wǎng)絡(luò)中分發(fā),一旦有用戶(hù)訪問(wèn)了該網(wǎng)頁(yè),該網(wǎng)頁(yè)就會(huì)在系統(tǒng)中自動(dòng)下載并運(yùn)行放置在網(wǎng)絡(luò)上的木馬. 2.攻擊*網(wǎng)站,獲得Webshell權(quán)限后,在網(wǎng)站中填加惡意代碼,如: (1)iframe 注:'; 利用在*門(mén)戶(hù)網(wǎng)站,填加惡意腳本的攻擊行為很多,例如,安天實(shí)驗(yàn)室在06年8月份就發(fā)現(xiàn)了針對(duì)KFC肯德基,雪花啤酒,邁拓硬盤(pán)等*網(wǎng)站的攻擊行為.所采用的都是此種方式. 3.利用美麗的網(wǎng)頁(yè)名稱(chēng)及內(nèi)容,誘惑用戶(hù)訪問(wèn). 很多惡意網(wǎng)頁(yè)或是站點(diǎn)的制作者,對(duì)瀏覽者的心理進(jìn)行了分析,對(duì)域名的選擇和利用非常精明.很多網(wǎng)民對(duì)一些****信息比較感興趣,成為了他們利用的渠道.他們會(huì)構(gòu)建名,或是等具有誘惑性的名稱(chēng)誘惑用戶(hù)點(diǎn)擊. 4.利用電子郵件等傳播. 攻擊者,利用電子郵件群發(fā)工具,發(fā)送包含誘惑性信息的主題郵件,誘惑用戶(hù)點(diǎn)擊其中包含的網(wǎng)頁(yè). 五、目前常用的網(wǎng)頁(yè)木馬制作方式 1.Javascript.Exception.Exploit 利用JS+WSH的完美結(jié)合,來(lái)制作惡意網(wǎng)頁(yè). 2.錯(cuò)誤的MIME Multipurpose Internet Mail Extentions,多用途的網(wǎng)際郵件擴(kuò)充協(xié)議頭.幾乎是現(xiàn)在網(wǎng)頁(yè)木馬流行利用的基本趨勢(shì),這個(gè)漏洞在IE5.0到IE6.0版本中都有. 3.EXE to .BMP + Javascritp.Exception.Exploit用虛假的BMP文件誘惑用戶(hù)運(yùn)行. 4.iframe 漏洞的利用 當(dāng)微軟的IE窗口打開(kāi)另一個(gè)窗口時(shí),如果子窗口是另一個(gè)域或安全區(qū)的話,安全檢查應(yīng)當(dāng)阻止父窗口訪問(wèn)子窗口.但事實(shí)并非如此,父窗口可以訪問(wèn)子窗口文檔的frame,這可能導(dǎo)致父窗口無(wú)論是域或安全區(qū)都能在子窗口中設(shè)置Frame或IFrame的URL.這會(huì)帶來(lái)嚴(yán)重的安全問(wèn)題,通過(guò)設(shè)置URL指向javascript協(xié)議,父窗口能在子域環(huán)境下運(yùn)行腳本代碼,包括任意的惡意代碼.攻擊者也能在"我的電腦"區(qū)域中運(yùn)行腳本代碼.這更會(huì)造成嚴(yán)重的后果. 5.通過(guò)安全認(rèn)證的CAB,COX 此類(lèi)方法就是在.CAB文件上做手腳,使證書(shū).SPC和密鑰.PVK合法 原理:IE讀文件時(shí)會(huì)有文件讀不出,就會(huì)去"升級(jí)"這樣它會(huì)在網(wǎng)頁(yè)中指定的位找 .cab 并在系統(tǒng)里寫(xiě)入個(gè)CID讀入.cab里的文件. 方法:.cab是WINDOWS里的壓縮文件, IE里所用的安全文件是用簽名的,CAB也不例外,所做的CAB是經(jīng)過(guò)安全使用證書(shū)引入的.也就是說(shuō)IE認(rèn)證攻擊,之所以每次都能入侵,是因?yàn)樗ㄟ^(guò)的是IE認(rèn)證下的安全攻擊. 6.EXE文件的捆綁 現(xiàn)在的網(wǎng)頁(yè)木馬捆綁機(jī)幾乎是開(kāi)始泛濫了,多的數(shù)不勝數(shù).再將生成的MHT文件進(jìn)行加密. 合肥易學(xué)電腦學(xué)校"設(shè)計(jì)師精英培訓(xùn)工程" 最有價(jià)值的培訓(xùn)課程: 平面設(shè)計(jì)培訓(xùn) 室內(nèi)設(shè)計(jì)培訓(xùn) 廣告設(shè)計(jì)培訓(xùn) 動(dòng)漫設(shè)計(jì)培訓(xùn) 游戲設(shè)計(jì)培訓(xùn) 網(wǎng)站設(shè)計(jì)培訓(xùn) 網(wǎng)頁(yè)設(shè)計(jì)培訓(xùn)