网页病毒及网页挂马原理

网页病毒及网页挂马原理

所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒。

实验环境如图5-68所示。

实验过程

第1步：设置IP地址。在Windows2003上，对本台电脑的网卡设置两个IP地址，如图5-69所示，目的是要在本台电脑上架设基于IP地址（218.198.18.93、218.198.18.95）的两个网站。

第2步：打开【Internet信息服务（IIS）管理器】。在Windows2003上，打开【Internet信息服务（IIS）管理器】，如图5-70所示，右键单击【默认网站】选择右键菜单中的【属性】，如图5-71所示，为本网站选择的IP地址是218.198.18.93。

第3步：创建www_muma网站的主目录。在Windows 2003上，在Inetpub文件夹中创建www_muma子文件夹，该文件夹是第4步新建网站的主目录。wwwroot是默认网站的主目录。

第4步：创建网站。在图5-70，右键单击【网站】，依次选择【新建】/【网站】菜单命令，如图5-72所示，开始创建网站，创建过程如图5-73～图5-76所示。

第5步：复制网站文件。在Windows 2003上，读者可以将两个简单的网站文件（index.htm）分别复制到wwwroot和www_muma文件夹中。

编辑wwwroot文件夹中的index.htm文件，在该文件源代码的…之间插入如图5-77所示的被圈部分代码。

第6步：打开浏览器。在Windows XP上，打开Firefox浏览器，地址栏输入218.198.18.93，结果如图5-78所示。

代码：其实就是大家时常所说的网页病毒、网页挂马的一种方式，不过在本测试中，仅仅是在原网站的首页中嵌入了另外一个网页，如果把width、height和frameborder都设置为0，那么在原网站的首页不会发生任何变化，但是，嵌入的网页（218.198.18.95/index.htm，该index.htm文件称为网页病毒或网页木马）实际上已经打开了，如果218.198.18.95/index.htm中包含恶意代码，那么浏览者就会受到不同程度的攻击。如果218.198.18.95/index.htm是网页木马，那么所有访问该网站首页的人都会中木马。网页上的下载木马和运行木马的脚本还是会随着门户首页的打开而执行的。

第7步：编辑wwwroot中的index.htm文件。在Windows 2003上，编辑C:\Inetpub\wwwroot\index.htm文件，插入如图5-79所示的被圈部分代码。

第8步：打开浏览器。在Windows XP上，打开浏览器（IE或者Firefox），地址栏输入218.198.18.93，结果如图5-80所示。

如果把width、height都设置为1（如果设置为0，访问218.198.18.93的网站时弹出的木马网页是全屏），那么在原网站的首页基本不会发生什么变化，但是，嵌入的网页（218.198.18.95/index.htm，该index.htm文件称为网页病毒或网页木马）实际上已经打开了。

第9步：编辑www_muma文件夹中的index.htm文件。在Windows 2003上，编辑C:\Inetpub\www_muma\index.htm文件，插入如图5-81所示的被圈部分代码。www_muma文件夹中index.htm文件的代码说明见表5-29。

第10步：在Windows XP上，打开IE浏览器，依次选择【工具】/【Internet选项】，打开【Internet选项】对话框，选择【安全】选项卡。单击【自定义级别】按钮，出现【安全设置】对话框，在“重置为”下拉框中选择【安全级-低】，单击【重置】按钮。具体过程请读者参考4.3.3小节。

在IE浏览器地址栏输入218.198.18.93，此时，网页木马已经在自己的电脑中创建了两个文件，如图5-82所示。