危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18787736

菜鸟杀必死之神马篇

我是一只资深的计算机,当我没那么资深的时候,常常会被各种似是而非术语搞得头晕脑胀。当然,我们学黑,这些头晕脑胀的术语总会像已经分手的初恋情人一样剪不断理还乱。不过,既然已经有前辈为这些术语痛苦过了,何不整理出来,让后生能够轻松一点,哪怕只是一点?所以,就有了必死系列文章。

第一篇,我们聊聊神马,神奇的木马。木马曾经是个很单纯的东西,英文名叫Trojan,我想音译为拓杰比较恰当,听起来像个男孩,但官方坚持译为特洛伊,成了个坏女人的名字,不过不管Trojan是Mr还是Ms,本质就是一个exe,配置完了就生成俩exe,一个客户端一个服务端,把服务端扔给肉鸡,自己运行客户端等着就完事了,当初赫赫有名的冰河就是这样搞的。

不过总有人搞不清该运行哪个,于是总有人自己成了自己的肉鸡,所以后来的木马制作者就以人为本,让配置器和客户端集成到一起,只生成一个服务端。然而现在的木马,又多了一种网马,网页木马,于是乎什么jpg格式漏洞、跨站xss一大堆不懂的名词迅速涌现,加上原来那些扫描、端口和IP等不懂的名词,很容易就让大家们分不清什么时候该用什么马。

要理清这些纠缠不清的术语,还得从入侵方式着手。先看传统的exe木马。在铜臭还没蔓延到网络的年代,黑客是颇有点侠客之风的,很少有人通过把木马改名为“未成年人不要点我”来骗取运行。那时候入侵总少不了扫描器,像Xscan,入侵前先对一个IP段进行开放端口扫描,然后针对开放的端口使用特定的利用手段获取webshell。当时有很多文章讨论各种拿webshell的方法和技巧,但最后总是一句“这样就拿到了webshell,接下来要做什么,你懂的”。每次看到这里,我就急了,大哥,我不懂啊,webshell到底是什么啊?词霸说是网络贝壳,听起来挺写意,只是到底有什么用呢?后来,我也慢慢搞清楚了,操作系统可以简单分为两块,内核和外壳,内核运行各种机制,外壳则负责交互,浅显一点,就是让用户敲命令的地方。拿到了webshell,我们就可以用dos命令给远程主机上传配置好的木马,然后再运行木马,这样,肉鸡就到手了。友情提示:下次想入侵指定IP的机器,记得往exe木马方向去考虑。入侵步骤是:首先扫端口,然后拿webshell,最后,你懂的。

最近不知道是不是年纪大了,而且又独身,老是在想过去的好时光。以前弱口令之类的低级漏洞比你想象的还多,总是这边慢慢地泡一壶茶,那边就已经扫出了一堆鸡。后来XP开始流行,日子就越来越难过了。不过,难过的日子还是得过,于是就有了网马。

我见过最早的网马,是海洋顶端,名字跟功能没有半毛钱关系,没记错的话,是个ASP网页木马。学过编网页的同学,一定都听过ASP,ASP曾经很火,那段时间基本上除了html就是ASP,因此ASP写的网页木马就有了很强的通用性,加上那时候的站长又都憨厚,说附件类型检测什么的最讨厌了,所以只要知道上传后附件的URL,就可以拿站了。现在拿站,就是取得网站的管理权限,还是个很火的黑客术语,我想,大概就是从那时候起,拿站就慢慢取代了文章中拿webshell的位置。

说到这里,exe木马和ASP网马的区别,就开始清晰了,从成因来看,就是拿webshell还是拿站。我们都知道,通过IP,是可以定位到一个物理机器,一个合法的用户,想通过网络使用这台物理机器的资源,比如说我家在北京,我人在南京,现在想取一张保存在我家机器上的照片,那就可以通过远程访问来获取。而exe木马,其实就是提供了远程访问的功能,现在有些想从良的木马,名字都改成了远控,远程控制,就是这个道理。

网马则不同。网马与物理机器无关,他可以禁ID禁IP,但没办法重启所在的主机。如果知道TCP/IP分层,理解起来就更简单。远控需要具备两个条件,一是知道目标主机的IP,而是目标主机运行了相应的网络服务,也就是开启了一个监听端口,这些都是网络底层的事(TCP是传输层,IP是网络层)。但网马在应用层,所有网页的网络底层:服务IIS和访问端口80都是固定好的,而且与IP也不是一一对应,是通过DNS通过域名来定位,属于一种网络抽象,与物理机器隔离。所以网马是不用也不能指定IP和端口的,物理机器本身的防护再好,只要可以上传网页,那就可以利用网马来入侵。当然,这也限制了网马的使用范围:必须是运行了IIS服务,通常表现为开放80端口的机器。

当然,exe木马和ASP木马是可以组合使用的,根据不同的入侵目的有不同的组合方式,上面的文字不是用来忽悠也不是用来研究,只不过是想让大家更多的了解自己手中的武器能干什么事情,套用一句名言,微操只是技巧,意识才是王道。

写到这里,我想神马问题应该算是讲清楚了,本来以为只需要发个短篇,写着写着才发现想讲清楚要比想象中困难得多,花费的时间也要多得多。这个系列还在探索中,如果大家喜欢这种形式想要保留,希望上论坛发帖支持,如果大家有容易混淆的术语和概念想通过这个系列搞清楚,同样可以通过在论坛中发帖告知,最后,祝大家兔年进步,吃嘛嘛香。