Ajax网页木马深入篇:
大家知道,网页木马的覆盖性很强,任何人浏览就可能中标,这是网页木马的一个大好处,但是有时候也会变成一个缺点,它缺乏了针对性。怎么叫针对性呢?这样的例子很多比如你只想让浏览这个网页的一部分人或这某个人中招,而别人毫无反应。听起来好神奇啊,大家都看网页,凭什么我中招而你没有,难道真的是人品问题?
在讨论技术前,先说说为什么要有针对性吧。在我们渗透企业内部网的时候,并不是企业内所有的员工都会很重视网络安全,常常就有那么几个人对于这方面什么都不懂。他们很可能防御相对比较弱,或补丁打得很晚,好,这次的目标就是让这帮人浏览木马,而其他人的计算机上是正常的。
首先要入侵这个企业的WEB网站,因为要使用网页木马,至少要有目标网站对于web页面写入和修改的权限。然后拿到这帮人的名单,其实你并不需要知道他们具体叫什么,只要知道他们在企业外部网站注册的用户名和邮箱就是了,具体方法可以参照“社会工程学”攻击。下面我们步入主题,怎么能唯独让这帮人浏览页面的时候执行呢?
大多数网站都有让用户登录的地方,邮箱登录、论坛登录等,在用户输入用户名后,进行判断,如果他的姓名在我们的黑名单里,就把木马丢给他。下面是我更改后的代码:AdvanceAjax.htm
