[转载]WEBSHELL的隐藏
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com]www.eviloctal.com[/url])有很多朋友拿下一些站的shell后,最后走人的时候,肯定是想留个后门在走,但是后门没几天就不见了。这
让一些小黑们很头痛哈,(包括我,哈哈)网上流传的方法也不是很好,只对本人来说哈。
不墨迹了,进正题。
首先拿下shell后,建立一个有...\\这样的文件夹,比如我就在站点跟目录建立个jieshao...\\这样的文件夹,如图
[url=http://hiphotos.baidu.com/jieshaosb/pic/item/13beca32993413dd1b4cff12.jpg][img]http://hiphotos.baidu.com/jieshaosb/abpic/item/13beca32993413dd1b4cff12.jpg[/img][/url]
直接确定,他会显示无法找到路径,如图
[url=http://hiphotos.baidu.com/jieshaosb/pic/item/03575850b5cdf70143a75be0.jpg][img]http://hiphotos.baidu.com/jieshaosb/abpic/item/03575850b5cdf70143a75be0.jpg[/img][/url]
其实,这样的文件夹已经建好了,但是在windows下自动识别了为jieshao..这样的文件夹,而且在shell里是看不到此文件夹的,更别说删除了。不相信?我们用ie打开来看看
[url=http://hiphotos.baidu.com/jieshaosb/pic/item/0b536f76e59c4b3eb151b9f1.jpg][img]http://hiphotos.baidu.com/jieshaosb/abpic/item/0b536f76e59c4b3eb151b9f1.jpg[/img][/url]
呵呵,的确有此目录哦,那么大家明白了吧,在shell里看不到这文件夹,我们不如在此文件夹上传个asp马,那样不就达到了很好的隐藏了么。
有2种方法,第一中直接copy到此文件夹里,但是要注意文件夹名一定是建立文件夹的名。OK。
copy玩了,如图
[url=http://hiphotos.baidu.com/jieshaosb/pic/item/a9860abe122b782f18d81fd4.jpg][img]http://hiphotos.baidu.com/jieshaosb/abpic/item/a9860abe122b782f18d81fd4.jpg[/img][/url]
是不是觉得不对劲了,怎么copy到跟目录去了,呵呵,其实他已经copy到jieshao...\\这个文件下去了,不相信?我们在来看看。
[url=http://hiphotos.baidu.com/jieshaosb/pic/item/fa55601f2e66053a403417df.jpg][img]http://hiphotos.baidu.com/jieshaosb/abpic/item/fa55601f2e66053a403417df.jpg[/img][/url]
呵呵,的确shell正常的copy进去了,在webshell里你是无法看到这个目录,也无法跳转到这个目录。
还有一种方法就是直接建立文件,比如我建立一个123.asp文件,直接jieshao...\\123.asp
有很多人会说,这种方法如果别人在ftp里,或者在服务器上能看见此文件夹么。
当然会了,当时他们无法访问和删除,这只是windows对文件夹识别的一种缺陷罢了。只能通过dos命名来删除和访问了,如果那些傻B管理员还不懂点dos命令的话,赶快回家睡觉吧。
好处:如果你日了某个站,比如一些站长买的一些空间,都是没有服务器权限的,只有ftp极小的权限
那么你就可以利用这种方法了,他们进入FTP了也无法删除我们的后门,也无法访问。只能通知管理员了,
如果在遇到傻B管理员,[img]http://img.baidu.com/hi/jx/j_0049.gif[/img] 冒失很淫荡的方法!
这种windows下对文件夹识别的缺陷其实出来很久了,只不过在网上没看到这些利用特殊文件夹打造webshell后门的。
页:
[1]