合肥網(wǎng)頁制作與設(shè)計培訓(xùn)|合肥網(wǎng)站設(shè)計培訓(xùn)班 易學(xué)

合肥網(wǎng)頁制作與設(shè)計培訓(xùn)|合肥網(wǎng)站設(shè)計培訓(xùn)班|合肥易學(xué)電腦培訓(xùn)--資深黑客詳談網(wǎng)頁木馬 網(wǎng)頁木馬的攻擊原理 網(wǎng)頁木馬實際上是一個HTML網(wǎng)頁,與其它網(wǎng)頁不同的是該網(wǎng)頁是黑客精心制作的,用戶一旦訪問了該網(wǎng)頁就會中木馬.為什么說是黑客精心制作的呢?因為嵌入在這個網(wǎng)頁中的腳本恰如其分地利用了IE瀏覽器的漏洞,讓IE在后臺自動下載黑客放置在網(wǎng)絡(luò)上的木馬并運(yùn)行(安裝)這個木馬,也就是說,這個網(wǎng)頁能下載木馬到本地并運(yùn)行(安裝)下載到本地電腦上的木馬,整個過程都在后臺運(yùn)行,用戶一旦打開這個網(wǎng)頁,下載過程和運(yùn)行(安裝)過程就自動開始. 打開一個網(wǎng)頁,IE瀏覽器不會自動下載程序和運(yùn)行程序,這是因為,為了安全,IE瀏覽器是禁止自動下載程序特別是運(yùn)行程序的,但是,IE瀏覽器存在著一些已知和未知的漏洞,網(wǎng)頁木馬就是利用這些漏洞獲得權(quán)限來下載程序和運(yùn)行程序的.下面列舉一些IE瀏覽器等存在的漏洞來分別說明為什么利用網(wǎng)頁木馬可以下載程序和運(yùn)行程序. 1.下載可執(zhí)行文件. index里有一個代碼漏洞,IE會把可執(zhí)行文件誤認(rèn)為CSS樣式表而下載到IE的臨時文件目錄. 也可以利用這段代碼,把這段代碼插入到網(wǎng)頁源代碼的h之間,運(yùn)行后就會發(fā)現(xiàn)在IE的臨時目錄Temporary Internet Files下,已經(jīng)下載了1.exe這個病毒文件. 2.自動運(yùn)行程序 把這段代碼插入到網(wǎng)頁源代碼的h之間,然后用IE打開該網(wǎng)頁,這段代碼可以在IE中自動打開記事本. 這段代碼使用了shell.application控件,該控件能使網(wǎng)頁獲得執(zhí)行權(quán)限,替換代碼中的"Notepad.exe"(記事本)程序,就可以用它自動運(yùn)行本地電腦上的任意程序. 通過以上的例子可以看出,利用IE的漏洞,在網(wǎng)頁中插入相關(guān)的代碼,IE完全可以自動下載和運(yùn)行程序. 三、可能被網(wǎng)頁木馬利用的漏洞 1.利用URL格式漏洞 此類網(wǎng)頁木馬是利用URL格式漏洞來欺騙用戶.構(gòu)造一個看似JPG格式的文件誘惑用戶下載,但事實上用戶下載的卻是一個EXE文件. 此類攻擊,具有相當(dāng)?shù)碾[蔽性,利用URL欺騙的方法有很多種,比如起個具有誘惑性的網(wǎng)站名稱或使用易混的字母數(shù)字掉包進(jìn)行銀行網(wǎng)絡(luò)釣魚,還有漏洞百出的"%30%50"之類的Unicode編碼等等,現(xiàn)在列舉比較常見的幾種方法: (1).@標(biāo)志過濾用戶名的解析 本來@標(biāo)志是E-mail地址的用戶名與主機(jī)的分隔符,但在URL中同樣適用,而且功能如出一轍.HTTP(超文本傳輸協(xié)議)規(guī)定了URL的完整格式是":地址或主機(jī)名",其中的"IP地址或主機(jī)名"是必填項.@標(biāo)志與其前面的"",意為"用戶名:密碼",屬于可選項.也就是說,在URL中真正起解析作用的網(wǎng)址是從@標(biāo)志后面開始的,這就是欺騙原理. 比如用戶訪問"/HuiGeZi_Server.exe",從表面上看,這是新浪網(wǎng)提供的一個鏈接,用戶會認(rèn)為這是一個無害的鏈接,而點(diǎn)擊,而實際上 ""只是個寫成新浪網(wǎng)址形式的用戶名(此處的密碼為空),因為后面有@標(biāo)志.而真正鏈接的網(wǎng)址卻是"" 也就是說這個發(fā)來的URL地址其實完全等同于" ,而與前面的用戶名毫無關(guān)系,只是迷惑性可就大大提高了.即使沒有這個用戶名,也完全不影響瀏覽器對URL的解析.(2).十進(jìn)制的IP地址 常見的IP地址包括四個字節(jié),一般表示形式為"xxx.xxx.xxx.xxx"(x表示一個十進(jìn)制數(shù)碼),例如"61.135.132.12".因為數(shù)字IP地址較長,且過于抽象、難以記憶,所以采用域名服務(wù)DNS來與之對應(yīng).在瀏覽器地址欄中輸入".sohu.com"與""的結(jié)果完全一樣,都是訪問搜狐網(wǎng)站,因為61.135.132.12就是搜狐域名的IP地址.不過,用訪問的話,仍然可以打開搜狐網(wǎng)站,這是因為,四位點(diǎn)分十進(jìn)制形式的IP地址"61.135.132.12"代表一組32位二進(jìn)制數(shù)碼,如果合在一起再轉(zhuǎn)換成一個十進(jìn)制數(shù)的話,答案就是1032291340.轉(zhuǎn)換方法,就是數(shù)制的按權(quán)展開:12t2560+132t2561+135t2562+61t2563=12+33792+8847360+1023410176=1032291340(基數(shù)為256,即28).在上文的例子中提到了"".這種字母域名有時還能被用戶識破,而在把它對應(yīng)的IP地址(假設(shè)為"61.135.132.13")換算成一個十進(jìn)制數(shù)后,結(jié)果是1032291341,再結(jié)合@標(biāo)志過濾用戶的解析,就會變成這樣的地址,這樣就更加隱蔽了. (3).虛假的網(wǎng)址,網(wǎng)絡(luò)釣魚者注冊一個域名和真實網(wǎng)站域名十分相似的網(wǎng)址,其用戶界面也和真實網(wǎng)站頁面非常相似,然后不URL提供給用戶,那么一般的用戶被引導(dǎo)到這樣的虛擬網(wǎng)址上是難以察覺的,攻擊者也就可以利用該網(wǎng)頁來誘導(dǎo)用戶輸入自己的個人身份信息,達(dá)到竊取的目的,例如真實網(wǎng)站域名是,偽造網(wǎng)站域名是,一個是小寫的"L",一個是數(shù)字"1",域名服務(wù)器將解析到完全不同的IP地址上,但用戶很難看出來.再如真實網(wǎng)站的域名是,而虛假網(wǎng)站使用域名,很多人也無法判斷 (4).更隱蔽的方法,是根據(jù)超文本標(biāo)記語言的規(guī)則,可以對文字制作超鏈接,這樣就使網(wǎng)絡(luò)釣魚者有機(jī)可乘.例如文件源代碼可以寫成:"".這樣,屏幕上顯示的是xxxbank的網(wǎng)址,而實際卻鏈接到了xxbank的虛假網(wǎng)站. (5).采用偽裝手段.可以在瀏覽器打開虛假網(wǎng)站的時候,彈出一個很隱蔽的小圖像,正好覆蓋在瀏覽器顯示網(wǎng)址的地方,該小圖像顯示被仿冒的網(wǎng)站的真實域名,而瀏覽器真正訪問的地址被掩蓋在下面. (6).虛假的彈出窗口.一些虛假網(wǎng)站會將用戶轉(zhuǎn)移到真實的網(wǎng)址,但是轉(zhuǎn)移之前制造假冒的彈出窗口,提示用戶進(jìn)行個人登陸的操作,很多用戶會誤認(rèn)為這些彈出窗口是網(wǎng)站的一部分而進(jìn)一步按照提示操作,直到透露出自己的個人身份信息. (7).可以利用瀏覽器漏洞竊取個人信息,如IE就曾暴露出一個漏洞,該漏洞使攻擊者可以在垃圾郵件中構(gòu)造一種數(shù)據(jù),用戶點(diǎn)擊后便可使IE瀏覽器顯示的網(wǎng)址與實際訪問的網(wǎng)址不同.采用這種方式進(jìn)行攻擊,欺騙性更好,可以通過向用戶發(fā)送包含URL的垃圾郵件的方式,誘騙用戶點(diǎn)擊,用戶如果不檢查郵件的原始代碼,根本無法知道自己被瀏覽器欺騙了. (8).黑客程序可以修改用戶計算機(jī)中的HOSTS文件,將特定域名的IP地址設(shè)置成自己的虛假網(wǎng)站的地址,用戶訪問這些網(wǎng)站時,機(jī)器會從HOSTS文件中獲得對應(yīng)的IP.除了上面的方法外,更為隱蔽和目前常用的攻擊手法是,攻擊者首先攻破一個正常的網(wǎng)站,然后修改網(wǎng)站的代碼,通過跳轉(zhuǎn)語句或嵌入JS腳本的手段,來改造一個掛馬的網(wǎng)站,這樣當(dāng)用戶點(diǎn)擊了包含正常網(wǎng)站的URL時,是不會有戒備心理的,更容易造成更大的損失. 2.通過ActiveX控件制作網(wǎng)頁木馬. 通過 ActiveX 把普通的軟件轉(zhuǎn)化為可以在主頁直接執(zhí)行的軟件的網(wǎng)頁木馬,此類網(wǎng)頁木馬對所有的系統(tǒng)和IE版本都有效,缺點(diǎn)是瀏覽網(wǎng)頁木馬時會彈出對話框,詢問是否安裝此插件.病毒作者通常是偽造微軟、新浪、Google等*公司的簽名,偽裝成它們的插件來迷惑用戶. 3.利用WSH的缺陷 利用WSH修改注冊表,使IE安全設(shè)置中"沒有標(biāo)記為安全的的activex控件和插件"的默認(rèn)設(shè)置改為啟用,然后再利用一些可以在本地運(yùn)行EXE程序的網(wǎng)頁代碼來運(yùn)行病毒.它的危害在于,可以利用IE的安全漏洞提升權(quán)限達(dá)到本地運(yùn)行任意程序的后果. 4.利用MIME漏洞制做的網(wǎng)頁木馬. 它利用了Microsoft Internet Explorer中MIME/BASE64處理的漏洞,MIME(Multipurpose Internet Mail Extentions),一般譯作"多用途的網(wǎng)絡(luò)郵件擴(kuò)充協(xié)議".顧名思義,它可以傳送多媒體文件,在一封電子郵件中附加各種格式文件一起送出.現(xiàn)在它已經(jīng)演化成一種指定文件類型(Internet的任何形式的消息:E-mail,Usenet新聞和Web)的通用方法.在使用CGI程序時你可能接觸過MIME類型,其中有一行叫作Content-type的語句,它用來指明傳遞的就是MIME類型的文件(如text/html或text/plain).MIME在處理不正常的MIME類型時存在一個問題,攻擊者可以創(chuàng)建一個Html格式的E-mail,該E-mail的附件為可執(zhí)行文件,通過修改MIME頭,使IE不能正確處理這個MIME所指定的可執(zhí)行文件附件.IE處理附件的方式:一般情況下如果附件是文本文件,IE會讀取文件,如果是VIDEO CLIP,IE會查看文件;如果附件是圖形文件,IE就會顯示文件;如果附件是一個EXE文件呢?IE會提示用戶是否執(zhí)行,但當(dāng)攻擊者更改MIME類型后,IE就不再提示用戶是否執(zhí)行而直接運(yùn)行該附件.從而使攻擊者加在附件中的程序,攻擊命令能夠按照攻擊者設(shè)想的情況進(jìn)行.在Win9X\ME以及WinNT4和Win2000下的Internet Explorer 5.0、5.01、5.5均存在該漏洞,微軟郵件客戶端軟件Outlook Express也存在此漏洞. 5.利用系統(tǒng)的圖片處理漏洞 這是種只要瀏覽圖片就可以傳播的網(wǎng)頁木馬.這種木馬是把一個EXE文件偽裝成一個BMP或JPG圖片文件,在網(wǎng)頁中添加如的代碼來欺騙IE自動下載,然后利用網(wǎng)頁中的Java Script腳本查找客戶端的Internet臨時文件夾,尋找下載的BMP格式文件,把它拷貝到TEMP目錄.再利用腳本把找到的BMP文件用DEBUG還原成EXE,并添加到注冊表啟動項中,達(dá)到隨系統(tǒng)的目的. 6.HTML文件木馬 首先利用工具把EXE格式的文件轉(zhuǎn)化成HTML文件的木馬,這樣.EXE文件看起來就變成了Htm文件,欺騙訪問者訪問假冒的Htm文件從而達(dá)到運(yùn)行病毒的目的.它和BMP網(wǎng)頁木馬運(yùn)用了同一個原理,也會利用JAVASCRIPT腳本和debug程序來轉(zhuǎn)換回EXE文件. 7.Hta木馬 Hta網(wǎng)頁木馬,是利用Internet Explorer Object Data(MS03-032)漏洞制作的網(wǎng)頁木馬,此漏洞是因為Internet Explorer在處理對象"Object"標(biāo)記時沒有正確處理要被裝載的文件參數(shù).("Object"標(biāo)記用于插入ActiveX組件等對象到HTML頁面."Object"標(biāo)記的"Type"屬性用于設(shè)置或獲取對象的MIME類型.通常合法MIME類型包括"plain/text"或"application/hta", "audio/x-mpeg"等.)Internet Explorer指定遠(yuǎn)程對象數(shù)據(jù)位置的參數(shù)沒有充分檢查被裝載的文件屬性,攻擊者可以構(gòu)建惡意頁面,誘使用戶訪問來運(yùn)行惡意頁面指定的程序 . 8.利用CHM格式漏洞. 這種網(wǎng)頁木馬首先創(chuàng)建一個Htm文件,包含如下代碼: Microsoft Internet Explorer javaprxy.dll COM Object Remote Exploit 四、網(wǎng)頁木馬的基本用法 理解了網(wǎng)頁木馬攻擊的原理,以及常用的漏洞,就可以寫出相關(guān)的利用代碼.制作出網(wǎng)頁木馬,然后就是傳播網(wǎng)頁木馬,目前網(wǎng)頁木馬的主要傳播途徑是: 1.通過IM及時聊天軟件傳播 將包含網(wǎng)頁木馬的地址(網(wǎng)址)通過QQ等聊天軟件在網(wǎng)絡(luò)中分發(fā),一旦有用戶訪問了該網(wǎng)頁,該網(wǎng)頁就會在系統(tǒng)中自動下載并運(yùn)行放置在網(wǎng)絡(luò)上的木馬. 2.攻擊*網(wǎng)站,獲得Webshell權(quán)限后,在網(wǎng)站中填加惡意代碼,如: (1)iframe 注:'; 利用在*門戶網(wǎng)站,填加惡意腳本的攻擊行為很多,例如,安天實驗室在06年8月份就發(fā)現(xiàn)了針對KFC肯德基,雪花啤酒,邁拓硬盤等*網(wǎng)站的攻擊行為.所采用的都是此種方式. 3.利用美麗的網(wǎng)頁名稱及內(nèi)容,誘惑用戶訪問. 很多惡意網(wǎng)頁或是站點(diǎn)的制作者,對瀏覽者的心理進(jìn)行了分析,對域名的選擇和利用非常精明.很多網(wǎng)民對一些****信息比較感興趣,成為了他們利用的渠道.他們會構(gòu)建名,或是等具有誘惑性的名稱誘惑用戶點(diǎn)擊. 4.利用電子郵件等傳播. 攻擊者,利用電子郵件群發(fā)工具,發(fā)送包含誘惑性信息的主題郵件,誘惑用戶點(diǎn)擊其中包含的網(wǎng)頁. 五、目前常用的網(wǎng)頁木馬制作方式 1.Javascript.Exception.Exploit 利用JS+WSH的完美結(jié)合,來制作惡意網(wǎng)頁. 2.錯誤的MIME Multipurpose Internet Mail Extentions,多用途的網(wǎng)際郵件擴(kuò)充協(xié)議頭.幾乎是現(xiàn)在網(wǎng)頁木馬流行利用的基本趨勢,這個漏洞在IE5.0到IE6.0版本中都有. 3.EXE to .BMP + Javascritp.Exception.Exploit用虛假的BMP文件誘惑用戶運(yùn)行. 4.iframe 漏洞的利用 當(dāng)微軟的IE窗口打開另一個窗口時,如果子窗口是另一個域或安全區(qū)的話,安全檢查應(yīng)當(dāng)阻止父窗口訪問子窗口.但事實并非如此,父窗口可以訪問子窗口文檔的frame,這可能導(dǎo)致父窗口無論是域或安全區(qū)都能在子窗口中設(shè)置Frame或IFrame的URL.這會帶來嚴(yán)重的安全問題,通過設(shè)置URL指向javascript協(xié)議,父窗口能在子域環(huán)境下運(yùn)行腳本代碼,包括任意的惡意代碼.攻擊者也能在"我的電腦"區(qū)域中運(yùn)行腳本代碼.這更會造成嚴(yán)重的后果. 5.通過安全認(rèn)證的CAB,COX 此類方法就是在.CAB文件上做手腳,使證書.SPC和密鑰.PVK合法 原理:IE讀文件時會有文件讀不出,就會去"升級"這樣它會在網(wǎng)頁中指定的位找 .cab 并在系統(tǒng)里寫入個CID讀入.cab里的文件. 方法:.cab是WINDOWS里的壓縮文件, IE里所用的安全文件是用簽名的,CAB也不例外,所做的CAB是經(jīng)過安全使用證書引入的.也就是說IE認(rèn)證攻擊,之所以每次都能入侵,是因為它通過的是IE認(rèn)證下的安全攻擊. 6.EXE文件的捆綁 現(xiàn)在的網(wǎng)頁木馬捆綁機(jī)幾乎是開始泛濫了,多的數(shù)不勝數(shù).再將生成的MHT文件進(jìn)行加密. 合肥易學(xué)電腦學(xué)校"設(shè)計師精英培訓(xùn)工程" 最有價值的培訓(xùn)課程: 平面設(shè)計培訓(xùn) 室內(nèi)設(shè)計培訓(xùn) 廣告設(shè)計培訓(xùn) 動漫設(shè)計培訓(xùn) 游戲設(shè)計培訓(xùn) 網(wǎng)站設(shè)計培訓(xùn) 網(wǎng)頁設(shè)計培訓(xùn)