Ajax 让网页木马“悄悄的执行”

    注意，在保存文件路径那里，路径最前面“\\..\\”是不能少，因为木马默认下载的位置是windows,或winnt。

    在我的虚拟机（windows xp sp2）中访问这个页面，可以看到执行成功了。

    注意启动项以及目标文件夹。大家可以根据自己的需求更改代码，本篇只是一个简单应用的例子，把一个网页木马使用Ajax技术进行了改良。推荐大家以后编写的网页木马，在下载木马的过程中，使用Ajax技术下载木马，这样的好处显而易见。

    Ajax网页木马深入篇：

    大家知道，网页木马的覆盖性很强，任何人浏览就可能中标，这是网页木马的一个大好处，但是有时候也会变成一个缺点，它缺乏了针对性。怎么叫针对性呢？这样的例子很多比如你只想让浏览这个网页的一部分人或这某个人中招，而别人毫无反应。听起来好神奇啊，大家都看网页，凭什么我中招而你没有，难道真的是人品问题？

    在讨论技术前，先说说为什么要有针对性吧。在我们渗透企业内部网的时候，并不是企业内所有的员工都会很重视网络安全，常常就有那么几个人对于这方面什么都不懂。他们很可能防御相对比较弱，或补丁打得很晚，好，这次的目标就是让这帮人浏览木马，而其他人的计算机上是正常的。

    首先要入侵这个企业的WEB网站，因为要使用网页木马，至少要有目标网站对于web页面写入和修改的权限。然后拿到这帮人的名单，其实你并不需要知道他们具体叫什么，只要知道他们在企业外部网站注册的用户名和邮箱就是了，具体方法可以参照“社会工程学”攻击。下面我们步入主题，怎么能唯独让这帮人浏览页面的时候执行呢？

    大多数网站都有让用户登录的地方，邮箱登录、论坛登录等，在用户输入用户名后，进行判断，如果他的姓名在我们的黑名单里，就把木马丢给他。