[原创]一个查ASP木马的小东东
信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])文章作者:lake2
ASP写的查ASP木马的小东东,在肉鸡上使用,拿来把其他同行的webshell给接管掉~
邪八的朋友测试下,要是有这东东查不到的ASP木马欢迎交流哦
默认密码是eviloctal,记事本打开改掉~
说明:查asp、cer、cdx、asa及其嵌套调用的任意格式文件(图片asp木马之类格查无论) [quote][b]这里是引用第[/b][color=#ff0000][2 楼][/color][b]的[color=#000066]huniao[/color]于[/b]2006-02-16 21:56[b]发表的:[/b]
因为等级不够,借用楼主帖发个问题!
关于MS06-005生成的crafted.bmp如何利用的问题!请教各位大哥,不胜感激![/quote]
Microsoft TechNet 主页有详细的介绍。如何触发漏洞wmp
请你遵守论坛的规定,以后请你不要在原创里面乱发贴子,你可以到技术讨论版去讨论。
谢谢你的合作! 东西不错,不过这东西还要手动选择目录,不方便,来个自动的:
Set objWMIService = GetObject("winmgmts:\\.\root\MicrosoftIISv2")
Set colItems = objWMIService.ExecQuery("Select * from IIsWebVirtualDirSetting")
For Each o In colItems
response.write o.path &"<br>"
Next
o.path 是历遍服务器上所有WEB目录的绝对路径的变量,本人较懒,楼主有时间可以改动以下,也许有商业价值。 文件中只定义查找:asp,cer,asa,cdx四种文件类型,不由另我想到如果使用以下方法,是绝对杀不了.
1.jpg中写asp木马代码
1.asp中<!--#include file="1.jpg"--> neeao:fso用于遍历目录
勇敢的风:之所以弄成手动选目录是因为怕web上文件太多一下子搜用户没耐心~可以填/就搜整个web;至于虚拟目录,呵呵,看来还得借用仁兄的思路
xiao2004:“绝对杀不了”?哈哈,你有试过么?你有看过代码么?少谈些主义,多做些实事吧:) 上次测试雷客图好像访问记录那里需要改进一下~发现疯狂提交访问数据过去页面的话可能会导致日志撑爆 嘻嘻,的确杀掉了,看错代码了,因为下面的代码查找了include file
虽然用include会杀掉,但用js的src可以逃过,刚用冰狐的木马搞定.
吃完饭给测试环境.我是在自己站上测试的. h4k_b4n: 那个日志记录那里设的1000,多了就不记录了。那个功能没啥意义,准备下个版本取消之~
xiao2004: 呵呵,你说的我搞不懂,向你请教! [quote][b]这里是引用第[/b][color=#ff0000][11 楼][/color][b]的[color=#000066]lake2[/color]于[/b]2006-02-17 11:57[b]发表的:[/b]
h4k_b4n: 那个日志记录那里设的1000,多了就不记录了。那个功能没啥意义,准备下个版本取消之~
[/quote]
其实那个也没有什么意义~是需要删除的。当初我以为你会不注意日志的方面的安全,想测试是否能跨站,所以就试试了!谁知道。。。。。 你自己可以测试一下,我刚开了个测试站点.
你的查asp木马文件
[url]http://hack.hhuai.cn/x.asp[/url]
我的asp木马
[url]http://hack.hhuai.cn/z.asp[/url]
马是冰狐浪子的马,自己测试一下,可以连接上,一些文件操作也可以,我没禁fso什么的,不过别搞破坏,怕怕. 当然,忘了说一句.如果你怕我改了你的杀马文件,可以自己再用那个冰狐马上传一个再测测... :)
明白了,呵呵,不仅是javascript,vbscript也可以你那样子包含之~
又学到新东东,感谢ing s. 这样的目录 不晓得测试过没
好象fso 不可以得到s.目录下的东西的
还有变形&可以用+替代?? superhei:
设计的时候考虑了s.那个目录的,但是FSO读不到没办法处理;
&可以用+替代的情况是考虑了的 首先非常感谢lake2给们提供这么个好东西
但是对于关键字“execute ” 在SQL语句中也可能用到
因此当站点文件很多时 查出来的文件也成千上百 就失去了此文件功能的意义 [quote][b]这里是引用第[/b][color=#ff0000][5 楼][/color][b]的[color=#000066]lake2[/color]于[/b]2006-02-17 11:14[b]发表的:[/b]
neeao:fso用于遍历目录
勇敢的风:之所以弄成手动选目录是因为怕web上文件太多一下子搜用户没耐心~可以填/就搜整个web;至于虚拟目录,呵呵,看来还得借用仁兄的思路
xiao2004:“绝对杀不了”?哈哈,你有试过么?你有看过代码么?少谈些主义,多做些实事吧:)[/quote]
楼主有所不知啊,对于站点的主目录实际上也是虚拟目录,可并不单单只有虚拟目录才是你认为的虚拟目录,看来我给的代码你没有用啊,列出的可是所有IIS中的站点目录和虚拟目录.
既然是ASP木马就肯定要运行在WEB可见的地方,所以关于FSO搜索目录的方法可以不用的。 好象放eval版的海洋查不到的哦!?。。。。 lanker兄,呵呵,谢谢支持,程序在检测的时候排除了.execute的情况的(SQL查询多半是conn.execute),而且又检测了Server.Execute的形式,具体你可试试
勇敢的风,感谢提意见,感谢再次提意见,我试了你的方法。可以出现未知错误,错误类型:(0x8004100E)。偶是IIS5.1
winfyd,eval应该可以查到的哦…… 哦,win2000对wmi的支持太少了。 据我测试应该还有好几个后门检测不出来 大家也可以动动手 找找哦
lake2 老弟有时间Q我 有几个问题想和你单独讨论一下 把特征那个地方提出来,写成一个数组,方便加 可是别人把后缀改成了aspx,或者把一句话插入aspx页面里面,就没有办法查了,
这里希望lake2考虑一下! k2k,反正asp的特征就那几个,就快列完了……
风尘浪子,aspx里面可以用eval?不是哦。 eval还真奇怪,我公司的服务器是2003的,支持asp.net,上面有个统计系统叫
COCOON , Copyright 顺便说下,如果一个asp用unicode格式保存,平时FSO都是ansi打开的,就查不到了,这个东西我之前就写过了,不过用了lcx不少代码,不敢发。 风尘浪子,aspx是不会支持eval、execute的哦……你说的那个情况不可能哦。还有ASP就查ASP木马,呵呵,至于webadmin,呵呵,我得让它活着才是啊^_^
史翔,你说这个问题我也发现了的,正在弄这个…… 我的2000上没有反应和原来一样呐,也没有生成日志,郁闷,win2k备份里的cmd也却掉了 [quote][b]这里是引用第[/b][color=#ff0000][25 楼][/color][b]的[color=#000066]史翔[/color]于[/b]2006-02-25 20:28[b]发表的:[/b]
顺便说下,如果一个asp用unicode格式保存,平时FSO都是ansi打开的,就查不到了,这个东西我之前就写过了,不过用了lcx不少代码,不敢发。[/quote]
ASP木马用unicode保存,我测试时不能成功运行 [quote][b]这里是引用第[/b][color=#ff0000][29 楼][/color][b]的[color=#000066]zxzgcn[/color]于[/b]2006-04-19 10:35[b]发表的:[/b]
ASP木马用unicode保存,我测试时不能成功运行[/quote]
但是我測試ㄉ時候可以使用的 不過會亂碼 好像只能查出加过密的。。。我有几个没加密的。。他就找不到。。。。 数据库中插的马能查到马?? [quote][b]这里是引用第[/b][color=#ff0000][31 楼][/color][b]的[color=#000066]小没良心的[/color]于[/b]2006-05-19 12:50[b]发表的:[/b]
数据库中插的马能查到马??[/quote]
经测试,确定能查到 哈哈。如果把脚本木马的属性设置成为系统+隐藏 蓝客的 scan 程序 探测不到的。 测试过了。 `——~ 呵,的确是扫出了一些,请问是不是对常见的一些ASP马进行特征码定位呢? 晕死那免杀的ASP木马可以查的到! 我也来点望落方面的
ActiveX
ActiveX组件实际上是指一些可执行的代码或一个程序,比如一个.EXE、.DLL或.OCX文件,通过ActiveX技术,程序员就能够将这些可复用的软件组装到应用程序或者服务程序中去,嵌入到网页中,随网页传送到客户的浏览器上,并在客户端执行。通过编程,ActiveX控件可以与Web浏览器交互或与客户交互
ADSL
ADSL(Asymmetrical Digital Subscriber Loop)技术,即非对称数字用户环路技术,就是利用现有的一对电话铜线,为用户提供上、下行非对称的传输速率(带宽):上行(从用户到网络)为低速的传输,可达640Kbps;下行(从网络到用户)为高速传输,可达7Mbps。它最初主要是针对视频点播业务开发的,随着技术的发展,逐步成为了一种比较方便的宽带接入技术,为电信部门所重视。这种宽带接入技术具有以下特点:(1)可直接利用现有用户电话线,无需另铺电缆,节省投资;(2)渗入能力强、接入快,适合于集中与分散的用户;(3)能为用户提供上、下行不对称的传输带宽;(4)采用点对点的拓扑结构,用户可独享高带宽;(5)可广泛用于视频业务及高速Internet等数据的接入。目前,由于普通的Internet用户接入网络的方式采用拨号Modem的方式,因此,Internet用户的剧增可能会造成网络的拥塞(国外已经出现了这种情况),而使用ADSL可以避免。
第 4 楼 2003-12-23 10:15
--------------------------------------------------------------------------------
ASP
ASP是Active Server Page(动态服务器主页)的缩写,它可用来创建动态WEB页或生成功能强大的WEB应用程序。ASP页包括HTML标记、文本和脚本命令的文件,ASP页可调用ActiveX组件来执行任务,例如连接到数据库或进行商务计算。通过ASP,可为你的WEB页添加交互内容或用HTML页构成整个WEB应用程序,这些应用程序使用HTML页作为你的客户的界面。ASP的工作原理:当用户申请一个*.asp主页时,Web服务器响应该HTTP请求,调用ASP引擎,调出被申请文件。当遇到任何与ActiveX Scripting兼容的脚本(如VBScript和JavaScript)时,ASP引擎会调用相应的脚本引擎进行处理。若脚本指令中含有访问数据库的请求,就通过ODBC与后台数据库相连,由数据库访问组件执行访库操作。ASP脚本是在服务器端解释执行的,它依据访库的结果集自动生成符合HTML语言的主页,去响应用户的请求。所有相关发布工作由Web服务器负责
[s:74] 太变态,是的不是的都查出来了。 [s:39]
另外,他本身也会被查出来是的,如果想把他排除,那么恶意者将马写入他本身,那么也死悄悄了。 [s:51]
因此他只能临时使用,用完就得从服务器删除。
大致看了,原来可以做得这么人性化,我也修改下。 [quote][b]这里是引用第[/b][color=#ff0000][25 楼][/color][b]的[color=#000066]史翔[/color]于[/b]2006-02-25 20:28[b]发表的:[/b]
顺便说下,如果一个asp用unicode格式保存,平时FSO都是ansi打开的,就查不到了,这个东西我之前就写过了,不过用了lcx不少代码,不敢发。[/quote]
那样的话,用ADODB.Stream? <!--#include/**/ file="2.gif"-->
[s:75]
呵呵。。 这么长时间了
楼主怎么不更新软件了? 好象放eval版的海洋查不到的哦!?。。。。 [quote]引用第33楼zhuixun2006于2006-08-06 22:51发表的 :
请问是不是对常见的一些ASP马进行特征码定位呢?[/quote]
很明显是特征码的定位..33楼的估计也米有仔细看代码吧.代码里也写了定位的过程.[s:266]
页:
[1]