攻防課堂之親歷木馬入侵（下）

木馬的偽裝是多種多樣的，圖片和視頻往往是木馬寄生的地方。下面我們就先來看看這方面幾個比較典型的木馬。最后再簡單介紹一下網(wǎng)馬掛站的方式。

實驗程序：ANI網(wǎng)馬生成器

木馬下載地址：http://218.86.126.77/Cpcfan/2007/3/lxl.rar

補丁發(fā)布時間：2007年4月

補丁下載地址：http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx?pf=true

Windows在處理畸形的動畫圖標文件(.ani)時存在緩沖區(qū)溢出漏洞，遠程攻擊者可能利用此漏洞控制用戶機器。從Windows2000 SP4到Vista都存在這漏洞，目前該漏洞正在被名為TROJ_ANICMOO.AX的木馬積極地利用。隨著生成工具的日益完善，ANI網(wǎng)馬非常有可能成為今年的熱門網(wǎng)馬。該木馬的生成步驟如下：

1)下載一個Ani網(wǎng)頁木馬生成器。

2)運行“Ani木馬生成器”，輸入“網(wǎng)頁木馬遠程存放地址”中填入的將要存放的網(wǎng)頁服務器地址，如：http://218.86.126.77/cpcfan/2007/3。

3)輸入木馬程序存放的地址，如：httP://218.86.126.77/cpcfan/2007/3/mm/exe。

4)Ani木馬生成器通常生成三個文件：index.htm，z1.jPg，z2.jpg。

5)把這三個文件傳到http://218.86.126.77/cpcfan/2007/3目錄下，在虛擬機上訪問http://218.86.126.77/cpcfan/2007/3/index.htm，你的計算機就會自動下載mm.exe并運行。

實驗程序：Real木馬制作工具

2005年3月，RealPIayer暴出安全漏洞，它是一個基于緩沖區(qū)溢出的漏洞，肇事者是多媒體綜合語言(smil)文件形式語法分析程序，漏洞允許攻擊者在一臺機器上運行任意的代碼。受影響的播放器主要是RealPlayer及Realone的各種版本。目前的Real木馬制作工具就是惡意的smil文件生成器，網(wǎng)上有現(xiàn)成的代碼。用戶在看電影時利用播放器本身漏洞直接中馬，漏洞利用和IE無關，而且打RealPlayer補丁的人少之又少，成功率還是很高的。只要裝有RealPlayer或暴風影音支持smil格式等播放器的用戶都會中招。具體的操作步驟如下：

1)在虛擬機上運行real.exe生成1個1.smil文件，注意如果你對網(wǎng)絡上下載的real.exe程序有疑慮，可以安裝VC6，使用現(xiàn)成的溢出代碼自己編譯。

2)運行RealPlayer打開這個1.smil

3)進入dos命令符下，運行netstat-an，可以看到計算機打開了13579端口。

4)在主機上運行telnet 192.168.1.2 13579，可以看到主機得到了虛擬機的cmdshell的權(quán)限。

現(xiàn)在就是利用此漏洞來制做成網(wǎng)頁木馬，讓用戶打開網(wǎng)頁后就會打開本機的13579端口。也就是在網(wǎng)頁中調(diào)用生成的smil文件。什么是smil文件呢?它就是RealPlayer連續(xù)播放影音文件的一種調(diào)用方法。舉個簡單的例子，如果想連續(xù)播放兩首MP3，網(wǎng)頁代碼如下：

對于網(wǎng)頁木馬的預防，沒有永久有效的措施，只有時時刻刻保持警惕，不要隨便訪問任何未經(jīng)過確認的圖片、文檔、多媒體文件，即使是QQ好友發(fā)過來的也要多驗證，最重要的是要及時給系統(tǒng)打上安全補丁，及時把你的殺毒軟件升級到最新的版本。

通過前面的實驗，多數(shù)人已經(jīng)可以自己制作出一個網(wǎng)頁木馬并掌握一些加密的技巧，那么黑客是怎樣把網(wǎng)頁掛在正規(guī)的網(wǎng)站呢?通常黑客會利用服務器的漏洞入侵服務器，然后把自己做的網(wǎng)頁木馬傳到服務器上，通過修改網(wǎng)站的首頁或某個重要頁面，把木馬悄悄的隱藏在頁面的某個角落里，下面列舉其中幾個途徑。

作為網(wǎng)站的管理者，要時刻注意網(wǎng)站重要頁面的檢查，特別是首頁連接的檢查，經(jīng)常搜索頁面中是否出現(xiàn)frame這類關鍵字。

攻防挑戰(zhàn)題目：

下載服務器上的一個偽木馬程序，利用這個程序成功制作一個MS06-014網(wǎng)頁，要求有一定的免殺功能!