_09_网马技术.pptVIP

网 络 安 全 体 系 网 盾 高 级 阶 段 网络安全体系课程 第09讲 网马技术 本章目标 了解webshell木马及其作用 理解网马的作用及其工作原理 了解常见的网马类型 掌握网马的制作 掌握网马的使用 一 回顾webshell 概念: webshell常常被称为匿名用户(入侵者)通过WEB服务端口对WEB服务器有某种程度上操作的权限, 由于其大多是以网页脚本的形式出现，也有人称之为网站后门工具。 实现: 在黑客技术中,webshell通常是通过各种脚本木马实现的. 黑客把本地配制好的木马上传到网站目录, 再加以隐藏和免杀, 达到长期控制此网站的目的, 并为后期扩大”战果”打下基础。 Webshell木马 作用: webshell被入侵常常用于网站目录浏览,源文件漏洞分析,提升权限等等，根据FSO权限的不同，作用有在线编辑网页脚本、上传下载任意文件、查看数据库、执行任意程序命令(需要服务器执行权限)等。 分类: 根据不同的脚本架构：asp木马 php木马 jsp木马等 根据木马不同功能：大马 (包含木马的所有功能) 小马 (只包含上传文件功能) 一句话马 (基于B/S结构,仅仅用于向服务端提交控制数据) 注意: 如果被入侵的服务器站点目录权限设置比较严格, 那么webshell作用范围仅限于此站点。 二 网马的作用和原理 由来: 通过前面讲解我们了解到webshell木马的作用在一定权限范围内受到很大限制, 而针对于系统的木马虽然可以夺取系统权限, 但是种植方式又比较困难, 并且这两种木马的影响范围比较狭窄. 再黑客入侵时希望有一种木马可以结合两者一起工作, 就可以大面积传播, 且直取系统权限。 基于这种需求网页木马出现了。 作用: 网马通过在web服务器的网页中插入恶意代码, 并利用IE浏览器漏洞,使上网者在浏览网页的同时自动下载恶意程序, 病毒, 甚至木马并且运行.给服务器和客户端带来很大危害: 对服务器端来说，一方面是系统资源，流量带宽资源的巨大损失，另一方面也成为了传播网页木马的“傀儡帮凶”, 严重影响到网站的公众信誉度. 对客户端来说，很多网页木马都是利益驱动，偷盗各类帐号密码，如电子银行帐户和密码、游戏帐号和密码、邮箱帐户和密码、QQ/MSN 帐号和密码等；另外，使得客户端被安装恶意插件，强迫浏览黑客指定的网站；或者被利用攻击某个站点等。 网马的工作原理 WEB SERVER(访问量较高) 黑客 另一台服务器 受害者 一 HACK—获取WEBSHELL,然后在网页中插入恶意代码指向另一台服务器 三 浏览插入恶意代码的网页,打开后而无任何察觉 四 由于受害者IE有漏洞,则自动找到另一台服务器下载指定文件并运行 二 HACK—上传木马或盗号等恶意程序 网马的工作原理cont. 讨论: 网马并没有去正面入侵某台电脑,那么网马是如何工作的呢? 网马利用客户端IE,系统或某些应用软件存在漏洞,在用户正常浏览网页的同时下载并执行木马等恶意程序,从而达到目的 注意: 网马一般要结合系统木马(如灰鸽子,pcshare)或者其他恶意程序(如网游,网银盗号程序)一起工作, 网马的主要作用是大规模地”开门”, 并运行系统木马. 网马的特点 不具备针对性 可以大规模传播 有些网马可以躲过杀毒软件的追杀 有些网马可以避开网络防火墙的报警 能够适用于Windows操作系统中的多数IE版本（主要包括IE5.0、IE5.5、IE6.0和IE7.0） 隐蔽性高,不易让浏览者发觉 挂马方式灵活多样,防不胜防 三 网马的类型 根据挂马方式不同: 分为可执行程序 VB或JAVA脚本程序 图片文件 影音文件等等. 根据网马执行漏洞不同: MS06040 MS06014 MS07009 MS07017等等 注意:MSxxxxxx为微软漏洞编号 根据网马调用系统控件不同 调用Scripting.FileSystemObject控件 调用WScript.Shell控件 调用Shell.Application控件 四 网马的制作 网马的源代码绝大部分是HTML语言写成,可以从网上下载源马并加以修改, 也可以使用木马生成器生成所需要的木马,例如: 注意:网上有很多木马生成器, 但其中大部分是绑定后门程序的, 测试时候最好在虚拟机中运行. 还有一些新型免杀木马, 但一般报价在几百到几十万RMB不等,