在获知用户ID和密码的情况下有多种方式可以获得完整或不完整的Cookie(包括手动登录网站,找到完整Cookie进行复制),而采用Python的Selenium模块一般可以获得完整的Cookie,以便程序登录我们的某自有网站。Selenium模块是一个用于Web应用程序测试的工具,它直接运行在浏览器中,就像真的用户在操作一样。在获得了完整的Cookie后,使用程序来进行各种操作就很便捷了。
编写一个简单的窃取Web服务器的多种环境信息的文件webshell.html,尝试使用程序或手动将其上传至某自有测试网站,这可借助该网站登录后可上传如头像之类的功能来实现。对于头像,由于按网站限制往往只能上传图像格式,因此先把待传文件的扩展名进行修改,例如改为webshell.jpg。
使用Fiddler可在一定程度上绕开网站对图像上传格式的限制。Fiddler是一个免费的Web调试代理工具,它记录计算机和因特网之间的所有HTTP(S)流量,可以检查通讯,设置断点和处理请求/响应。我们使用Fiddler设置断点,选择在请求之前截断请求,然后在网站中选择“伪装的头像”webshell.jpg上传。在拦截的Request信息中,Fiddler提供了方便的查看方式,其中包括Cookies、Raw、WebForms等。我们可将webshell.jpg改回webshell.html,然后继续响应请求。这样便成功上传了webshell.html文件。
图2展示了Fiddler在本次操作的部分界面。本次操作绕过了客户端验证。而在网站加强安全防范,例如添加了包括服务器端验证等安全措施之后,对于此类攻击行为和疑似的攻击请求将被自动拦截。 二、木马[4]- [7] 木马全称为特洛伊木马程序,它与病毒的区别在于木马不把自己的代码拷贝到宿主文件或引导区中,而是将自己伪装成其它程序,病毒的特点却是把自身变成其它程序的一部分,因此它们的传播方式是不同的。
病毒主要特殊性是能自我复制,具有传染性和破坏性;木马的特殊性是木马攻击者能够对木马实施控制,具有可控性。病毒的传染是没有可控性的传染,即使是病毒编制者也可能无法对其进行控制,它以自我复制的方式进行繁殖和感染文件;而木马并不刻意地去感染其他文件,其主要作用是向控制端打开目标系统的门户,使控制端能远程操控目标系统。
木马在植入目标系统后能够接受控制端的指令、完成控制端交给的任务。随着技术的发展融合,木马制造者借助病毒的传染技术,进行木马植入,使木马的危害更加严重。
(一)木马的隐蔽方式
1、集成到程序中
在被用户发现后,木马为了达到难以被删除的目的,常常把自身集成到程序里,即木马被激活后,木马文件被捆绑到某一个应用程序中。在这种情况下,即便它被删除了,但只要运行了那个应用程序,它又会被安装上去。
2、隐藏在配置文件中
计算机中一般使用的是图形化界面,这使得我们容易忽略那些不太重要的配置文件。木马会利用这些配置文件的一些特殊作用使得自身可以在计算机中运行,不过这种隐藏方式不是很高明,被发现的概率较大。
3、潜伏在Win.ini中
这样便可安全地在系统启动时自动运行。
4、伪装在普通文件中
这种木马目前比较流行,用户若对Windows不熟悉会很容易被欺骗。例如将可执行文件装扮成合法的图片或者文本文件。
5、内置到注册表中
把木马内置到复杂的注册表中是更加不易被发现的办法。
6、在System.ini中藏身
把木马隐藏在Windows安装目录下的System.ini文件,这也是一种比较隐蔽的地方。
7、隐形于启动组中
这使得木马在启动组中能自动加载运行。
8、捆绑在启动文件中
这里的启动文件指的是应用程序的启动配置文件,控制端利用这些文件能够启动的特点,将带有木马启动命令的同名文件对其进行覆盖,这样启动木马的目的就实现了。
9、设置在超级链接中
用户点击网页上的恶意链接就有可能感染木马。
目前出现了驱动程序及动态链接库技术,这使得木马变得更加隐蔽。这种技术摆脱了原有的木马监听端口模式,改为了去改写驱动程序或动态链接库。这样造成的结果是没有新的文件出现在系统中(故不能用扫描的方法查杀)、不用去打开新的端口(所以不能用端口监视的方法查杀)、也没有出现新的进程(因此不能够用进程查看去检测它,同样也不能够用杀进程的方法停止其运行),而且这类木马在平时运行时没有任何的症状,木马程序在木马的控制端向被控制端发出特定信息后才开始运行。
(二)木马的通信原理
木马被安装在服务端后,当控制端、服务端都在线的时候,控制端就能够用木马端口与服务端建立连接了。
木马通信的方法很多,最常见是用TCP或者UDP协议,这种方法的隐蔽性比较差,容易被监测到,例如用netstat命令就可以查看到当前活动的TCP、UDP连接。