扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
网页挂马是攻击者惯用的入侵手段,其影响极其恶劣。不仅让站点管理者蒙羞,而且殃及池鱼使站点的浏览者遭殃。不管是站点维护者还是个人用户,掌握、了解一定的网页挂马及其防御技术是非常必要的。
1、关于网页挂马
网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。浏览者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的服务器端程序,进而控制浏览者的主机。
2、获取Webshell
攻击者要进行网页挂马,必须要获取对站点文件的修改权限,而获取该站点Webshell是最普遍的做法。
其实可供攻击者实施的攻击手段比较多,比如注入漏洞、跨站漏洞、旁注漏洞、上传漏洞、暴库漏洞和程序漏洞都可被利用。下面就列举一个当前比较流行的eWEBEditor在线HTML编辑器上传漏洞做个演示和分析。
1).网站入侵分析
eWEBEditor是一个在线的HTML编辑器,很多网站都集成这个编辑器,以方便发布信息。低版本的eWEBEditor在线HTML编辑器,存在者上传漏洞,黑客利用这点得到WEBSHELL(网页管理权限)后,修改了网站,进行了挂马操作。
其原理是:eWEBEditor的默认管理员页面没有更改,而且默认的用户名和密码都没有更改。攻击者登陆eWEBEditor后,添加一种新的样式类型,然后设置上传文件的类型,加入asp文件类型,就可以上传一个网页木马了。(图1)
2).判断分析网页漏洞
(1).攻击者判断网站是否采用了eWEBEditor的方法一般都是通过浏览网站查看相关的页面或者通过搜索引擎搜索类似"ewebeditor.asp?id="语句,只要类似的语句存在,就能判断网站确实使用了WEB编辑器。
(2).eWEBEditor编辑器可能被黑客利用的安全漏洞:
a.管理员未对数据库的路径和名称进行修改,导致黑客可以利用编辑器默认路径直接对网站数据库进行下载。
b.管理员未对编辑器的后台管理路径进行修改导致黑客可以通过数据库获得的用户名和密码进行登陆。或者是默认密码。直接进入编辑器的后台。
c.该WEB编辑器上传程序存在安全漏洞。
分析报告指出:网站的admin路径下发现cer.asp网页木马,经分析为老兵的网页木马。(加密后依旧能通过特征码分辨,推荐网站管理员使用雷客ASP站长安全助手,经常检测网站是否被非法修改。)
3、揭秘几种最主要的挂马技术
(1).iframe式挂马
网页木马被攻击者利用iframe语句,加载到任意网页中都可执行的挂马形式,是最早也是最有效的的一种网络挂马技术。通常的挂马代码如下:
解释:在打开插入该句代码的网页后,就也就打开了http://www.xxx.com/muma.html页面,但是由于它的长和宽都为“0”,所以很难察觉,非常具有隐蔽性。下面我们做过做个演示,比如在某网页中插入如下代码:
在“百度”中嵌入了“IT专家网安全版块”的页面,效果如图2。
(2).js脚本挂马
js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术,如:黑客先制作一个。js文件,然后利用js代码调用到挂马的网页。通常代码如下:
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者