在形形色色的互联网中，网站被挂马是非常严重的安全事件，因为这不仅标志着自己的网站被控制，而且还会影响到网站的用户，不管是杀毒软件的“友情”提示还是用户中木马，对网站的信誉都有严重的影响。

 

对于黑客，他们通过网站挂马，可以直接批量控制中马用户的计算机，不仅可以盗取各类账号（邮箱、游戏、网络支付），还可以进行交易劫持等其他利益用途。

 

0×02 木马与网马

 

大部分人对木马都比较了解，木马就是一个具有隐蔽性的远程控制软件。

 

而我们提到的网站挂马，并非是指木马，而是网马。

 

网马本质就是一个特定的网页，这个网页包含了攻击者精心构造的恶意代码，这些恶意代码通过利用浏览器（包括控件、插件）的漏洞，加载并执行攻击者指定的恶意软件（通常是木马）。

 

简单的说，网站挂马是黑客植入木马的一种主要手段。

 

早期的木马往往是通过比较底层的系统漏洞，直接拿到机器权限，比如经典的windows漏洞系列之MS06-040和MS08-067；

 

但是随着系统漏洞挖掘的成本提高，大部分黑客开始利用网站挂马的方式传播木马。对于黑客来说，网站挂马的技术门槛远比挖掘系统漏洞低，木马命中的效果也好，一个UV 1000的站点，中招10%也有100台肉鸡，就像使用散弹枪扫射一堆敌人，所以网站挂马很快就成为了一个时代的主流；

 

当然还有很多其他的方式可以传播木马，比如社会工程学，丢U盘或者找个MM勾引管理员修电脑都是常用的手法，但是相对来说成本较高，远没有网站挂马效果好。

 

0×03 网站挂马的原理和流程

 

网站挂马是指黑客通过入侵或者其他方式控制了网站的权限，在网站的Web页面中插入网马，用户在访问被挂马的网站时也会访问黑客构造的网马，网马在被用户浏览器访问时就会利用浏览器或者相关插件的漏洞，下载并执行恶意软件。

 

网马的本质是利用浏览器（主要是IE）和浏览器控件、插件的漏洞，通过触发漏洞获取到程序的执行权限，执行黑客精心构造的利用代码（Shellcode）。

 

具体流程可以参考开始下图（红色椭圆内部是网站被挂马的细节）：

 

1

 

当用户浏览了被挂马的网站时，浏览器会去请求这些网马页面，网马中包含了针对浏览器或者第三方插件漏洞的恶意代码，当浏览器或者插件处理这些恶意代码时，会触发程序自身的漏洞，执行网马中的shellcode，shellcode会负责下载并执行黑客配置好的木马。

 

网马主要是利用了IE浏览器漏洞、常见的控件漏洞和浏览器插件漏洞，这里整理了网马经常利用的一些漏洞：

 

MS06-014：Microsoft 数据访问组件 (MDAC)功能中的漏洞可能允许执行代码

 

MS06-055：矢量标记语言可能允许远程执行代码漏洞

 

MS07-017：ANI光标漏洞

 

MS09-032：MicrosoftDirectShow MPEG2TuneRequest组件栈溢出漏洞

 

MS10-018：Microsoft IE畸形对象操作内存破坏漏洞

 

MS11-002：Microsoft DataAccess组件漏洞

 

MS11-003：Microsoft InternetExplorer内存远程代码执行漏洞

 

CVE-2008-2992：Adobe Readerutil.printf() JavaScript函数栈溢出漏洞

 

CVE-2009-0927：Adobe Acrobat和ReaderCollab getIcon() JavaScript方式栈溢出漏洞

 

CVE-2010-3653：Adobe ShockwavePlayer Director文件rcsL块解析内存破坏漏洞

 

CVE-2011-0609：Adobe Flash PlayerCVE-2011-0609 ‘SWF’文件远程内存破坏漏洞

 

CVE-2010-1423：Java开发工具包URL参数远程代码执行漏洞

 

CVE-2010-4452：Oracle Java”Applet2ClassLoader”类未签名Applet远程代码执行漏洞

 

CVE-2010-4465：Oracle Java在处理剪贴板中的数据写入和读取的控制上存在远程代码执行漏洞

 

CVE-2012-4681：Oracle Java RuntimeEnvironment远程代码执行漏洞

 

网站挂马的原理我们基本清楚了，那么黑客又是如何进行挂马呢？

 

首先，黑客需要获取网站植入木马的权限。

 

比较常见的方法有两种：

 

一种是通过入侵网站获得网站的管理员权限，将网站的网页插入网马，很多入侵的Webshell都有批量挂马的功能；

 

另一种方式是利用ARP进行挂马，攻击者进入到目标机器的局域网，使用ARP Spoofing，然后在HTTP response中插入网马。

 

当黑客拥有植入网马的权限后，就需要准备一个网马。

 

网马的编写相对于木马来说简单了许多，有技术实力一般会参考漏洞的POC写出利用网马，或者利用Metasploit生成的代码进行修改。

 

大部分的挂马“黑客”往往都是直接使用网马生成器生成网马，或直接购买网马，将网马中默认恶意软件的URL地址修改为自己的恶意软件URL地址，这样，一个网马就准备好了。

 

最后一步就是植入网马，植入网马只需要在网站页面插入一小段HTML代码，引入编写好的网马URL即可，早期最常见的是iframe挂马，把宽度和高度设置为0，SRC设置为网马地址，就ok了，这也是植入网马的原理。后续很多植入代码都利用了JavaScript,和CSS进行了变形和混淆处理，主要是为了防止杀毒软件和站长的检测和清理，