利用知名站点欺骗挂马

利用知名站点欺骗挂马

网络上有许多"钓鱼（Pushing）"式攻击，通过各种手段诱骗上网者浏览恶意的网站，导致各种网银或游戏帐号密码丢失。同样的，钓鱼式攻击也被用在欺骗性传播网页木马上。

利用Google图片搜索挂马

类似于Google、百度、TOM、新浪之类的大网站，许多用户还是非常放心的，因此在看到指向这些网站的链接时，许多用户往往都会放心的点击。然而这些大网站安全性并非那么十全十美，同样也可能被攻击者利用进行挂马攻击。

例如在某个论坛上，上网者看到一个名为"Google搜索到的隐蔽XX图"的帖子，其中有一个指向Google图片搜索的链接：

http://images.google.com/imgres?imgurl=色情&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W

由于此链接指向的是Google图片搜索，因此浏览毫不怀疑链接来源的安全性，点击链接后没有看到想看的图片，却遭受了木马攻击。

以Google为例，Google是全球最大的搜索引擎，同时Google拥有其他庞大的 WEB应用程序产品线，涉及EMAIL、BLOG、在线文档、个人主页、电子地图、论坛、RSS等互联网几乎所有的应用业务。然而在Google提供的图片搜索服务就存在一个安全问题。

在Google图片搜索结果页面中，点击某张图片，可打开一个图片预览页面。在页面上方显示有图片信息，下方的框架中则是显示的图片来源页面（图1）。

图1 图片预览页面#p#

如果查看此时的Google图片预览页面链接地址，可发现形如：

http://images.google.com/imgres?

imgurl=http://ladymetro.metroerimg.com/img/ladymetro/editor_pickup/2008_old/upload/image/parttime2/00zz0401.jpg&

imgrefurl=http://www.ladymetro.com/fashion/content/4762&usg=__e930yGV25zCQ0nGbF9GpGQAS5xA=&h=478&w=300&sz=47&

hl=zh-CN&start=147&tbnid=WAOJc3A1C4arwM:&tbnh=129&tbnw=81

其中"imgurl="参数后是图片的真实链接地址，imgrefurl=参数后是图片来源页面链接地址，其它是一些附加参数。

此时，如果将imgrefurl=参数后的图片来源页面链接地址进行修改，就可让Google图片预览页面内嵌任意网页，包括木马网页。例如这里直接将任意Google图片预览页面链接地址中的imgrefurl=参数链接修改为百度链接地址，则在Google图片预览页面内嵌显示了百度首页（图2）。

图2  Google图片搜索挂马效果#p#

当然，如果将百度链接换成木马网页的话，就会遭受木马网页攻击。不过这个链接地址太长了，而且参数比较多，容易让人起疑心，因此可以去掉其中一些不必要的参数，改写为如下形式：

http://images.google.com/imgres?

imgurl=http://ladymetro.metroerimg.com/img/ladymetro/editor_pickup/2008_old/upload/image/parttime2/00zz0401.jpg&

imgrefurl=http://www.baidu.com&tbnid=WAOJc3A1C4arwM:

其中的"imgurl="参数后的图片链接地址也是可以省略为任意字符的，再次改写为如下形式：

http://images.google.com/imgres?imgurl=1&imgrefurl=http://www.baidu.com&tbnid=WAOJc3A1C4arwM:

"tbnid="参数可以为任意字符，因此改写为如下形式（图3）：

http://images.google.com/imgres?imgurl=1.gif&imgrefurl=http://www.baidu.com&tbnid=W

图3

在进行挂马攻击时，攻击者当然不会直接写入网页的链接地址，那样太明显了。攻击者可以对网页木马链接地址进行转换，变成%16进制的形式，例如"http://www.baidu.com"可以转换为：

%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d#p#

则挂马链接地址变为（图4）：

http://images.google.com/imgres?imgurl=1&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W

图4

这个挂马链接地址看难让人看出有什么问题，而且攻击者还可以对链接再进一步伪装，例：

http://images.google.com/imgres?imgurl=色情&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W

http://images.google.com/imgres?imgurl=sex&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W

或者直接将"imgurl="参数后加上一张令人感兴趣的真实的图片链接地址，点击打开这个Google图片搜索链接时，确实显示了令人"兴奋"的图片，但同时也打开了木马网页。

【编辑推荐】

1. 感伤寒 网页挂马早预防
2. 局域网如何实行ARP欺骗挂马
3. 对网页被挂马的10种样式的认识
4. 警惕网页特效CSS挂马