攻防课堂之亲历木马入侵（下）.docVIP

攻防课堂之亲历木马入侵（下） 　　木马的伪装是多种多样的，图片和视频往往是木马寄生的地方。下面我们就先来看看这方面几个比较典型的木马。最后再简单介绍一下网马挂站的方式。 　　实验程序：ANI网马生成器 　　木马下载地址：7/Cpcfan/2007/3/lxl.rar 　　补丁发布时间：2007年4月 　　补丁下载地址：/technet/security/Bulletin/MS07-017.mspx?pf=true 　　Windows在处理畸形的动画图标文件(.ani)时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户机器。从Windows2000 SP4到Vista都存在这漏洞，目前该漏洞正在被名为TROJ_ANICMOO.AX的木马积极地利用。随着生成工具的日益完善，ANI网马非常有可能成为今年的热门网马。该木马的生成步骤如下： 　　1)下载一个Ani网页木马生成器。 　　2)运行“Ani木马生成器”，输入“网页木马远程存放地址”中填入的将要存放的网页服务器地址，如：7/cpcfan/2007/3。 　　3)输入木马程序存放的地址，如：httP://7/cpcfan/2007/3/mm/exe。 　　4)Ani木马生成器通常生成三个文件：index.htm，z1.jPg，z2.jpg。 　　5)把这三个文件传到7/cpcfan/2007/3目录下，在虚拟机上访问7/cpcfan/2007/3/index.htm，你的计算机就会自动下载mm.exe并运行。 　　实验程序：Real木马制作工具 　　2005年3月，RealPIayer暴出安全漏洞，它是一个基于缓冲区溢出的漏洞，肇事者是多媒体综合语言(smil)文件形式语法分析程序，漏洞允许攻击者在一台机器上运行任意的代码。受影响的播放器主要是RealPlayer及Realone的各种版本。目前的Real木马制作工具就是恶意的smil文件生成器，网上有现成的代码。用户在看电影时利用播放器本身漏洞直接中马，漏洞利用和IE无关，而且打RealPlayer补丁的人少之又少，成功率还是很高的。只要装有RealPlayer或暴风影音支持smil格式等播放器的用户都会中招。具体的操作步骤如下： 　　1)在虚拟机上运行real.exe生成1个1.smil文件，注意如果你对网络上下载的real.exe程序有疑虑，可以安装VC6，使用现成的溢出代码自己编译。 　　2)运行RealPlayer打开这个1.smil 　　3)进入dos命令符下，运行netstat-an，可以看到计算机打开了13579端口。 　　4)在主机上运行telnet 13579，可以看到主机得到了虚拟机的cmdshell的权限。 　　现在就是利用此漏洞来制做成网页木马，让用户打开网页后就会打开本机的13579端口。也就是在网页中调用生成的smil文件。什么是smil文件呢?它就是RealPlayer连续播放影音文件的一种调用方法。举个简单的例子，如果想连续播放两首MP3，网页代码如下： 　　 　　 　　 　　对于网页木马的预防，没有永久有效的措施，只有时时刻刻保持警惕，不要随便访问任何未经过确认的图片、文档、多媒体文件，即使是QQ好友发过来的也要多验证，最重要的是要及时给系统打上安全补丁，及时把你的杀毒软件升级到最新的版本。 　　通过前面的实验，多数人已经可以自己制作出一个网页木马并掌握一些加密的技巧，那么黑客是怎样把网页挂在正规的网站呢?通常黑客会利用服务器的漏洞入侵服务器，然后把自己做的网页木马传到服务器上，通过修改网站的首页或某个重要页面，把木马悄悄的隐藏在页面的某个角落里，下面列举其中几个途径。 　　 　　 　　作为网站的管理者，要时刻注意网站重要页面的检查，特别是首页连接的检查，经常搜索页面中是否出现frame这类关键字。 　　攻防挑战题目： 　　下载服务器上的一个伪木马程序，利用这个程序成功制作一个MS06-014网页，要求有一定的免杀功能! 3