网页挂马之实战详解

2019-03-10 12:10:23来源： 51CTO 阅读 ()

不论是那一种帮凶，黑客都希望能在被黑者不怀疑、杀毒软件抓不到的情况下，顺利将木马保存到被黑电脑中然后运行，经过多年的演变与发展，目前有经验的黑客最常使用的方法就是利用木马网页…也就是说黑客会先针对某个漏洞 (通常是 Windows 或 IE 的漏洞) 设计出一个特殊的网页 (也就是木马网页)，当被黑者浏览这个网页，就会利用该漏洞无声无息的趁机将木马下载到被黑电脑中然后运行 (若被黑电脑已修补该漏洞，此方法当然就无效)。

一般而言黑客想要利用漏洞来进行黑客任务，几乎都必须自己写工具程序才行，不过在黑客的世界中永远有奉献出自己心力的慈善家，因此网络上就有一些针对某些漏洞而设计的木马生成器，让许多黑客 (特别是初学者黑客) 可以不必学习高深的编程就能轻易的利用这类工具来进行黑客任务，在本问题中我们就是要详细讨论黑客如何利用这类工具来进行工作。

由于这类工具是帮助真正的木马植入被黑电脑中与运行，因此应该称为木马帮凶，而不是真正的木马，因此严格来说它应该是木马帮凶生成器，而不是木马生成器，像 Sub7 editserver.exe或 Optix PRO Builder.exe 才算是名符其实的木马生成器。

◎木马帮凶生成器的问题与盲区

可能有读者会认为：既然有现成的工具，那要设计一个木马网页就不是难事! 在网络随便查找就有一大堆，的确没错，虽然在搜索网站输入网马生成器、木马生成器就可找到很多 (大多是在我国内地)，但是有经验黑客并不会因此而高兴，因为这些木马帮凶生成器的问题很多，并非找到后下载就能顺利使用，主要有下列问题：

虽然在查找网站中有找到，但单击后该网页已经不见了，当然也就不可能下载木马帮凶生成器，这种情况很常见，只好再试下一个查找到的项目。

有些木马生成器是利用一年前或是更久之前的漏洞 (Windows 系统或 IE 的漏洞) 设计的，就算下载后可以正常使用，但对于已修补该漏洞的电脑当然就无效，也就是说年代愈久，木马生成器愈没有利用的价值 (对许多电脑可能都无效)，因此这类木马查找到一大堆也几乎是废物。

许多木马生成器都没有详细的使用说明，如果黑客经验不足或是很难使用，则仍是无用武之地。

有些木马生成器并不是原设计者放在网络上让人下载，因此有可能会出现缺少文件的情况，所以就算下载成功也是没用 (当然可以再去查找缺的文件来补齐，但又要费一番功夫)。

不知道是恶作剧还是喜欢骗人，有些木马生成器跟本不像说明那样或是假的…当然要下载后才知道是个骗局。

有些木马生成器是作者从网络找数据、程序后东拼西凑写出来的，可能对所利用的漏洞不甚了解，如此写出来的木马生成器当然也就很有问题。

.有些下载木马生成器的网站还会学以致用、充分实现木马网页的效果，也就是说只要进入下载木马生成器的网页就会自动被植入某种木马或病虫 (最常利用 Windows 系统或 IE 的漏洞)，如果黑客电脑有安装杀毒软件或网络防护程序或许就可以抓到或发现，否则还没下载木马帮凶生成器就先被木马或病虫入侵，还真是一大讽刺。

有些号称是最新、最强、使用某个最新微软漏洞的木马帮凶生成器，结果下载后却是该木马帮凶生成器的使用教学动画，或是创建的网页木马是有问题的无法作用 (那就等于没有)…等情况，为何会这样呢? 原来是设计者想要卖自己写的木马帮凶生成器，所以才会出现这样的现象。不过小弟好奇的是：有多少人会这样买木马帮凶生成器呢? 一般而言时间愈久，木马的价值愈低 (木马帮凶生成器也一样)，而且木马又不能试用，若买了之后有任何问题，会有跟踪服务吗? 即使木马帮凶生成器完全没问题，而且针对最新的漏洞设计，但并不表示购买者就一定能成功入侵被黑电脑而且不被防火墙抓出来啊! 另外若购买者能力与知识不足，则买了木马生成器可能也不会用或有问题…所以小弟实在很怀疑：这样的生意能做吗?

够呛了吧?! 并不是从网络上随便下载个木马帮凶生成器就能进行黑客工作，即使不会写木马，想要使用木马帮凶生成器也要有相当的经验、知识与技巧才行，也就是说要使用工具来进行黑客任务也并非那么容易。

◎获取网页空间

既然黑客要利用木马网页来诱骗被黑者浏览，当然就需要一个网页空间来保存木马网页文件与该网页所需要的相关文件 (如果有的话)，而当黑客有了可使用的网页空间后，下面我们就找几个木马帮凶生成器来进行研究与了解黑客如何制作与使用木马网页来将木马植入被黑电脑中。

Note:在进行之前黑客必须先将要植入被黑电脑中的木马上传到某个网页空间 (不一定要与木马网页文件放在同一个网页空间)，然后记下该木马的完整地址 (也就是下载地址)。

Note:下面小弟找的几个木马帮凶生成器都是利用微软公布的漏洞设计的，对 Win2K SP4、WinXP、Server 2003 各版本都可以成功，不过对于 WinVista 则是无效 (因为漏洞都已修补)。

◎MS06-055 木马帮凶生成器

这是利用微软编号 MS06-055 漏洞所设计的木马帮凶生成器，由于它是利用 Vector MarkupLanguage 漏洞设计的，所以也称为 IE_VML 木马帮凶生成器，首先黑客会先从网络上获取它，解开后的文件全部放在同一个文件夹中，然后依照下面的步骤来进行。

步骤 1 创建漏洞程序码

使用记事本打开 make.bat，设置黑客自己的木马下载地址，如下图所示。

断开与 Internet 连接，关闭杀毒软件 (有些会抓出 shellcode.exe)，然后运行 make.bat(鼠标在上面双击)，因为是批处理文件，所以出现 DOS 窗口闪一下就消失了，就会创建一个shellcode.txt。

步骤 2 加入网页中

使用记事本将 shellcode.txt 打开，将所创建的程序码全部选定后复制到剪贴板，如下。

再使用记事本打开 IE_VML.htm (WinXP 的记事本打开会很慢，可使用 EMEditor 较佳)，将前面复制的程序码贴进来，如下操作。

步骤 3 完美诱骗

比较懒的黑客现在就可以将 IE_VML.htm 上传到网页空间，然后诱骗被黑者来浏览此网页。不过由于此网页什么都不会显示出来，很容易引起怀疑，因此心思缜密的黑客就会再用一点小技巧，先找一个被黑者有兴趣的图片 (例如：可爱小狗图片，文件名 cutedog.jpg)，然后将此图片与木马网页文件 ( IE_VML.htm ) 都上传到网页空间，记下这两个文件的完整地址，前面下载木马帮凶生成器解开后有一个 CutePuppy.jpg，它不是一个真的 JPEG 图片，使用记事本打开它，然后输入图片与木马网页文件的完整地址，如下所示。

现在再将这个假的图片 CutePuppy.jpg 重命名为与那个图片 (此范例中是 cutedog.jpg)相关的名称，这个范例中因为是可爱小狗，所以就不需要改名，否则若是情色图片可改为blowjob.jpg、hardcore.jpg，若是有趣图片则可改为 funny.jpg…等。

步骤 4 上传与行动

现在将这个假的图片文件上传到网络空间 (最好与真的图片与木马网页文件在同一个空间)，然后记下指向这个假图片的完整地址，现在黑客就可以将这个地址：

.邮寄或传手机短信给被黑者。

.由实时通讯软件 (如：MSN、雅虎实时通、SkyPE、QQ…等) 传给被黑者。

.公布在其他网站、博客、讨论区、聊天室中。

然后等待木马顺利植入某个被黑电脑与运行成功后，就可进行黑客任务。

怎么样?! 看出前一步骤黑客的技巧吗? 这个木马网页的地址表面上看是显示某个图片例如http://www.xxx.com/CutePuppy.jpg，所以大多数被黑者就没有戒心，而当浏览器打开这个假图片 (本例中是 CutePuppy.jpg) 时则会显示出那张真的图片 (本例中是 cutedog.jpg)，同时也打开木马网页 IE_VML.htm…这招虽然没啥技术，但相当有技巧!! 所以千万不要以为只是观看网络上的某张图片就很安全，黑客们可是用心良苦、无孔不入啊!!

Note:若一切顺利，木马网页会将真正的木马下载保存到被黑电脑 Windows 系统所在文件夹下的system32 文件夹中，文件名为 a.exe，然后运行它。

防护方式

最有效的防护当然就是修补此漏洞，可到下面微软地址中下载适合你 Windows 版本的补丁程序，有关对各种木马帮凶的综合防护请见本问题最下面

◎木马网页的综合防护方式。

◎MS06-014 木马网页

这是利用微软编号 MS06-014 漏洞所设计的木马网页，它并不是溢出漏洞，所以没有像乱码那般的程序码，使用一般 VBScript 就能写出来，所以不必使用木马帮凶生成器 (虽然网络上也可以找到利用此漏洞的木马帮凶生成器，但似乎是画蛇添足)，在本书光盘 MS06-014 文件夹中已经有一个范例木马网页，基本上黑客只要修改两个地方就可以制作出自己的木马网页，如下所示(可使用记事本打开)。

比较懒的黑客现在就可以将这个 ms06-014.htm 上传到网页空间，然后诱骗被黑者来浏览此网页。但是若黑客希望能更完美些则可以利用本书光盘 MS06-014 文件夹中的 CutePuppy.jpg 这个假图片文件来制作，详细的做法在前面已经说过了，所以请参见面步骤 3 完美诱骗，而后续的操作同样也可以参见前面步骤 4 上传与行动来进行，这里就不再说明。Note:若一切顺利，木马网页会将真正的木马下载保存到被黑电脑 Windows 系统所在文件夹下的system32 文件夹中 (这是默认，上图中可改)，文件名为 Server.exe (这是默认，上图中可改)，然后运行它。

防护方式

最有效的防护当然就是修补此漏洞，可到下面的微软地址中下载适合你 Windows 版本的补丁程序，有关对各种木马帮凶的综合防护请见本问题最下面 ◎木马网页的综合防护方式。

◎MS05-001 木马帮凶生成器

这是利用微软编号 MS05-001 漏洞所设计的木马帮凶生成器，虽然年代有些久远，不过对于众多 WinXP SP2 的电脑仍有入侵成功的机会，首先黑客会先从网络上获取它，解开后的文件全部放在同一个文件夹中，然后依照下面的步骤来进行。

步骤 1 生成木马帮凶

现在黑客就可以使用这个木马帮凶生成器来制作木马网页，断开与 Internet 连接，关闭杀毒软件 (有些会抓出 muma.exe)，然后运行 muma.exe。

它会创建 jiaozhu.htm bbs003302.gif bbs003302.css 三个文件，有些黑客会将jiaozhu.htm 重命名为 index.htm、home.htm…等一般化名称。另外有些杀毒软件会将 jiaozhu.htm当成病毒，不过只要黑客略为修改文件中的些变量、简化 HTML 码…就能轻易让杀毒软件辨认不出来，所以杀毒软件的判别方式实在很没用。

Note:有些杀毒软件也会将 bbs003302.gif 认为木马或病毒，这个就没法逃过了，除非改写木马

帮凶生成器。

步骤 2 上传文件

懒惰的黑客现在就可将这三个文件 jiaozhu.htm bbs003302.gif bbs003302.css 上传到网页空间，然后诱骗被黑者来浏览此网页。但是若黑客希望能更完美些则可以利用本书光盘 MS06-014文件夹中的 CutePuppy.jpg 这个假图片文件来制作，详细的做法在前面已经说过了，所以请参见前面步骤 3 完美诱骗，而后续的操作同样也可以参见前面步骤 4 上传与行动来进行，这里不再说明。

Note:若一切顺利，木马网页会将真正的木马下载保存到被黑电脑 C:\，文件名为 arcldrer.exe，然后运行它。

盲区说明

其实 bbs003302.css 就是黑客要使用的木马程序，木马帮凶生成器只是将它重命名而已，也就是说它可能是任意木马程序，但许多不了解的人都以为 bbs003302.css 就是某个特定的木马或病毒，就如同瞎子摸象一般，摸到什么地方就以为是那样，不过现在我们知道了…它可以是任意的木马或病毒 (也可能不是)。

Note:既然 bbs003302.css 是木马程序，当然就很有可能被杀毒软件抓出来，除非黑客对木马进行伪装易容就有机会逃过查杀。

防护方式

最有效的防护当然就是修补此漏洞，可到下面微软地址中下载适合你 Windows 版本的补丁程序，有关对各种木马帮凶的综合防护请见本问题最后面

◎木马网页的综合防护方式。

◎讨论与研究

若利用多个木马网页后，仍无法顺利将木马植入被黑电脑中与运行，则黑客会再查找其他漏洞与相关工具，或想办法自行设计木马的帮凶工具来实现此工作。

.所有的木马帮凶生成器都会将木马下载到被黑电脑中保存后运行，但大多数却不会设置每次进入Windows 就自动运行，因此这件工作就必须靠木马自己来实现 (例如：Sub7 或 Optix PRO 的Server.exe 都可实现)，若木马本身无法实现 (许多小木马都不无行，除非木马是黑客自己写的)，那就算成功植入被黑电脑与运行，只要被黑电脑重启动就破功了…这算是木马帮凶生成器最大的缺点。

Tips:由于许多木马都不会自行设置一进入 Windows 就自动运行，而大多数木马帮凶生成器也都无此功能，因此有些黑客就自行这个木马帮凶程序来实现自动运行。.在小弟的广泛测试中发现有个军火仓库网站所设计的一个木马帮凶生成器，可以对创建的木马网页文件做任意数字的加密，也就是说所创建的木马网页有很大的机会可以逃过

杀毒软件的查杀，经过小弟的测试后的确是如此，不过它所使用的漏洞太旧，对于 WinXP SP2 或更

新的版本都无效，所以小弟就不介绍了，不过这样的加密伪装法对于网络安全与各杀毒软件无疑是一大考验，如何找出有效的防护方法就要靠大家的努力了。

◎木马网页的综合防护方式

要防护这类利用漏洞入侵的木马网页并非很困难，只要彻底实现下列几项建议，就算不幸中了木马也能让它发挥不了作用，让你的电脑有惊无险。

.经常到微软网站或小弟的网站 ([url]http://www.faqdiy.cn/[/url]) 查看与下载最新严重 (Critical) 漏洞的补丁程序。

.对于成功植入与运行的木马，虽然逃过杀毒软件的查杀，但只要进行任何与网络相关的操作就很有可能被防火墙抓到而现形，因此小弟建议你一定要使用防火墙。

.如果你使用的杀毒软件有网页防护功能，则一定要将它打开，如此对于大多数已知的木马网页都可以阻挡在外 (不过也会造成网页显示出来变慢)，无法进入你的电脑，avast! Home 的操作如下。

要经常更新病毒库，一般而言三个月前利用微软漏洞设计的木马网页大概都可以抓出来，所以效果不错。

本文选自：http://www.faqdiy.cn/Books/FT276GB.htm

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有