木马一般如何被上传到服务器？木马入侵服务器步骤讲解

　　对于服务器运维人员来说，服务器遭受木马病毒入侵是一件很平常的事情，但是对于大多数人来说其实并不了解木马入侵的过程，那么木马一般如何被上传到服务器的呢?这里跟大家稍微介绍一下木马入侵服务器步骤。

木马一般如何被上传到服务器

　　木马一般如何被上传到服务器?这里跟大家普及一下常见的几种上传木马的方式：

　　1，利用00截断，brupsuite上传

　　利用00截断就是利用程序员在写程序时对文件的上传路径过滤不严格，产生0X00上传截断漏洞。

　　假设文件的上传路径为http://xx.xx.xx.xx/upfiles/lubr.php.jpg ,通过Burpsuite抓包截断将lubr.php后面的“.”换成“0X00”。在上传的时候，当文件系统读到”0X00″时，会认为文件已经结束，从而将lubr.php.jpg 的内容写到lubr.php中，从而达到攻击的目的。

　　2，构造服务器端扩展名检测上传

　　当浏览器将文件提交到服务器端的时候，服务器端会根据设定的黑名单对浏览器提交上来的文件扩展名进行检测，如果上传的文件扩展名不符合黑名单的限制，则不予上传，否则上传成功。

　　本例讲解，将一句话木马的文件名lubr.php改成lubr.php.abc。首先，服务器验证文件扩展名的时候，验证的是.abc，只要改扩展名符合服务器端黑名单规则，即可上传。另外，当在浏览器端访问该文件时，Apache如果解析不了.abc扩展名，会向前寻找可解析的扩展名，即”.php”。一句话木马可以被解析，即可通过中国菜刀连接。

　　3，绕过Content-Type检测文件类型上传

　　当浏览器在上传文件到服务器端的时候，服务器对上传的文件Content-Type类型进行检测，如果是白名单允许的，则可以正常上传，否则上传失效。绕过Content-Type文件类型检测，就是用Burpsuite截取并修改数据包中文件的Content-Type类型，使其符合白名单的规则，达到上传的目的。

　　4，构造图片木马，绕过文件内容检测上传Shell

　　一般文件内容验证使用getimeagesize()函数检测，会判断文件是否一个有效的文件图片，如果是，则允许上传，否则的话不允许上传。

　　制作图片木马： copy 1.jpg/b+2.php/a 3.jpg

木马入侵服务器步骤

　　一般情况下，黑客往往通过以下木马入侵服务器步骤，从而提高入侵服务器的效率。

　　·通过端口139进入共享磁盘。139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享。开启139端口虽然可以提供共享服务，但常常被攻击者所利用进行攻击，如使用流光、SuperScan等端口扫描工具可以扫描目标计算机的139端口，如果发现有漏洞可以试图获取用户名和密码，这是非常危险的。

　　·默认共享漏洞IPC$入侵。IPC$是Windows系统特有的一项管理功能，是微软公司为方便用户使用计算机而设计的，主要用来远程管理计算机。但事实上，使用这个功能最多的人不是网络管理员而是“入侵者”，他们通过建立IPC$连接与远程主机实现通信和控制。通过IPC$连接的建立，入侵者能够做到建立、复制、删除远程计算机文件，也可以在远程计算机上执行命令。

　　·IIS漏洞入侵。IIS(Internet Information Server)服务为Web服务器提供了强大的Internet和Intranet服务功能。主要通过端口80来完成操作，因为作为Web服务器，80端口总要打开，具有很大的威胁性。长期以来，攻击IIS服务是黑客惯用的手段，这种情况多是由于企业管理者或网管对安全问题关注不够造成的。

　　·缓冲区溢出攻击。缓冲区溢出是病毒编写者和特洛伊木马编写者偏爱使用的一种攻击方法。攻击者或病毒善于在系统当中发现容易产生缓冲区溢出之处，运行特别程序获得优先级，指示计算机破坏文件、改变数据、泄露敏感信息、产生后门访问点、感染或攻击其他计算机等。缓冲区溢出是目前导致“黑客”型病毒横行的主要原因。

　　·Serv-U攻击。Serv-U FTP Server是一款在Windows平台下使用非常广泛的FTP服务器软件，目前在全世界广为使用，但前不久它一个又一个的漏洞被发现，许多服务器因此而惨遭黑客入侵。在得到目标计算机的信息之后，入侵者就可以使用木马或黑客工具进行攻击了，但这种攻击必须绕过防火墙才可以成功。

　　·脚本攻击。脚本Script是使用一种特定的描述性语言，依据一定格式编写的可执行文件，又称做宏或批处理文件。脚本通常可以由应用程序临时调用并执行。正是因为脚本的这些特点，往往被一些别有用心的人所利用。在脚本中加入一些破坏计算机系统的命令，当用户浏览网页时，一旦调用这类脚本，便会使用户的系统受到攻击从而造成严重损失。

　　·DDoS(Distributed Denial of Service，分布式拒绝服务)攻击。凡是能导致合法用户不能够访问正常网络服务的行为都是拒绝服务攻击。也就是说，拒绝服务攻击目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。

　　·后门程序。一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但如果这些后门被其他人知道或在发布软件之前没有删除后门程序，它就成了安全风险，容易被黑客当成漏洞进行攻击。

　　关于木马一般如何被上传到服务器以及木马入侵服务器步骤就为大家普及到这里，很多时候服务器会被入侵都是因为自身的服务器安全防范工作没有做到位，80%以上的入侵都是因为一个很小的漏洞而产生的，因此想要服务器彻底的安全，最好是尽可能的做好全方面的安全防范工作。