監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

黑客攻防解密:網(wǎng)頁掛馬攻防全接觸

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

網(wǎng)頁掛馬攻防全接觸(上)

網(wǎng)頁掛馬是攻擊者慣用的入侵手段,其影響極其惡劣。不僅讓站點(diǎn)管理者蒙羞,而且殃及池魚使站點(diǎn)的瀏覽者遭殃。不管是站點(diǎn)維護(hù)者還是個(gè)人用戶,掌握、了解一定的網(wǎng)頁掛馬及其防御技術(shù)是非常必要的。

1、關(guān)于網(wǎng)頁掛馬

網(wǎng)頁掛馬就是攻擊者通過在正常的頁面中(通常是網(wǎng)站的主頁)插入一段代碼。瀏覽者在打開該頁面的時(shí)候,這段代碼被執(zhí)行,然后下載并運(yùn)行某木馬的服務(wù)器端程序,進(jìn)而控制瀏覽者的主機(jī)。

2、獲取Webshell

攻擊者要進(jìn)行網(wǎng)頁掛馬,必須要獲取對(duì)站點(diǎn)文件的修改權(quán)限,而獲取該站點(diǎn)Webshell是最普遍的做法。

其實(shí)可供攻擊者實(shí)施的攻擊手段比較多,比如注入漏洞、跨站漏洞、旁注漏洞、上傳漏洞、暴庫漏洞和程序漏洞都可被利用。下面就列舉一個(gè)當(dāng)前比較流行的eWEBEditor在線HTML編輯器上傳漏洞做個(gè)演示和分析。

1).網(wǎng)站入侵分析

eWEBEditor是一個(gè)在線的HTML編輯器,很多網(wǎng)站都集成這個(gè)編輯器,以方便發(fā)布信息。低版本的eWEBEditor在線HTML編輯器,存在者上傳漏洞,黑客利用這點(diǎn)得到WEBSHELL(網(wǎng)頁管理權(quán)限)后,修改了網(wǎng)站,進(jìn)行了掛馬操作。

其原理是:eWEBEditor的默認(rèn)管理員頁面沒有更改,而且默認(rèn)的用戶名和密碼都沒有更改。攻擊者登陸eWEBEditor后,添加一種新的樣式類型,然后設(shè)置上傳文件的類型,加入asp文件類型,就可以上傳一個(gè)網(wǎng)頁木馬了。(圖1)

2).判斷分析網(wǎng)頁漏洞

(1).攻擊者判斷網(wǎng)站是否采用了eWEBEditor的方法一般都是通過瀏覽網(wǎng)站查看相關(guān)的頁面或者通過搜索引擎搜索類似"ewebeditor.asp?id="語句,只要類似的語句存在,就能判斷網(wǎng)站確實(shí)使用了WEB編輯器。

(2).eWEBEditor編輯器可能被黑客利用的安全漏洞:

a.管理員未對(duì)數(shù)據(jù)庫的路徑和名稱進(jìn)行修改,導(dǎo)致黑客可以利用編輯器默認(rèn)路徑直接對(duì)網(wǎng)站數(shù)據(jù)庫進(jìn)行下載。

b.管理員未對(duì)編輯器的后臺(tái)管理路徑進(jìn)行修改導(dǎo)致黑客可以通過數(shù)據(jù)庫獲得的用戶名和密碼進(jìn)行登陸?;蛘呤悄J(rèn)密碼。直接進(jìn)入編輯器的后臺(tái)。

c.該WEB編輯器上傳程序存在安全漏洞。

分析報(bào)告指出:網(wǎng)站的admin路徑下發(fā)現(xiàn)cer.asp網(wǎng)頁木馬,經(jīng)分析為老兵的網(wǎng)頁木馬。(加密后依舊能通過特征碼分辨,推薦網(wǎng)站管理員使用雷客ASP站長安全助手,經(jīng)常檢測(cè)網(wǎng)站是否被非法修改。)

3、揭秘幾種最主要的掛馬技術(shù)

(1).iframe式掛馬

網(wǎng)頁木馬被攻擊者利用iframe語句,加載到任意網(wǎng)頁中都可執(zhí)行的掛馬形式,是最早也是最有效的的一種網(wǎng)絡(luò)掛馬技術(shù)。通常的掛馬代碼如下:

解釋:在打開插入該句代碼的網(wǎng)頁后,就也就打開了http://www.xxx.com/muma.html頁面,但是由于它的長和寬都為“0”,所以很難察覺,非常具有隱蔽性。下面我們做過做個(gè)演示,比如在某網(wǎng)頁中插入如下代碼: 

在“百度”中嵌入了“IT專家網(wǎng)安全版塊”的頁面,效果如圖2。

(2).js腳本掛馬

js掛馬是一種利用js腳本文件調(diào)用的原理進(jìn)行的網(wǎng)頁木馬隱蔽掛馬技術(shù),如:黑客先制作一個(gè).js文件,然后利用js代碼調(diào)用到掛馬的網(wǎng)頁。通常代碼如下:

http://www.xxx.com/gm.js就是一個(gè)js腳本文件,通過它調(diào)用和執(zhí)行木馬的服務(wù)端。這些js文件一般都可以通過工具生成,攻擊者只需輸入相關(guān)的選項(xiàng)就可以了,如圖3就是一個(gè)JS木馬的代碼。(圖3)

(3).圖片偽裝掛馬

隨著防毒技術(shù)的發(fā)展,黑手段也不停地更新,圖片木馬技術(shù)逃避殺毒監(jiān)視的新技術(shù),攻擊者將類似:

注:當(dāng)用戶打開http://www.xxx.com/test.htm是,顯示給用戶的是,而http://www.xxx.com/test.htm網(wǎng)頁代碼也隨之運(yùn)行。(圖4)

發(fā)布:2007-04-22 09:08    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普重慶OA信息化其他應(yīng)用

重慶OA軟件 重慶OA新聞動(dòng)態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開發(fā)公司 重慶網(wǎng)站建設(shè)公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉庫管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開發(fā) 重慶建筑施工項(xiàng)目管理系統(tǒng)開發(fā)