1、木马类型
本文仅介绍与渗透攻击密切相关的木马。
1.1 远程控制型木马
以让攻击者完全控制被入侵的主机,攻击者可以利用它完成一些甚至连主机主人本身都不能顺利进行的操作。该种类的木马往往集成了其他种类木马的功能,可以任意访问文件、获取目标主机用户的私人信息,包括信用卡、银行账号等至关重要的信息。
1.2 密码发送木马
密码发送木马是为专门盗取被感染主机上的密码而编写的,木马一旦被执行,就会自动搜索内存、 Cache、临时文件夹以及各种敏感密码文件,一旦搜索到有用的密码,木马就会利用免费的电子邮件服务将密码发送到指定的邮箱,从而达到获取密码的目的,所以这类木马大多使用25号端口发送E-mail。
1.3 键盘记录木马
这种木马记录目标主机的键盘敲击并且在LOG文件里查找密码,随着系统的启动而启动。它们有在线和离线记录的选项,分别记录用户在线和离线状态下敲击键盘时的按键情况,从这些按键中攻击者很容易就会得到用户的密码等有用信息,甚至是信用卡账号。
1.4 反弹端口型木马
木马开发者在分析了防火墙的特性后发现,防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与ー般的木马相反,反弹端口型木马的服务端使用主动端口,客户端使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连接控制端打开的主动端口,控制端的被动端口一般开在80端口。
2.木马利用思路
木马利用,其基础是将木马文件放入目标服务器/主机,常常使用网站的文件上传功能,或开源软件漏洞,将木马文件注入。
木马利用的另一个前提条件是,目标主机/服务器必须有木马运行的环境。比如网站使用php搭建,