打印

[原创]一个查ASP木马的小东东

lake2

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 88
精华: 6
积分: 3447
阅读权限: 100
性别: 男
来自: China
在线时间: 108 小时
注册时间: 2004-8-3
最后登录: 2008-1-28

发短消息
加为好友
当前离线

楼主大中小发表于 2006-2-16 16:43 只看该作者

[原创]一个查ASP木马的小东东

信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
文章作者：lake2

ASP写的查ASP木马的小东东，在肉鸡上使用，拿来把其他同行的webshell给接管掉～
邪八的朋友测试下，要是有这东东查不到的ASP木马欢迎交流哦

默认密码是eviloctal，记事本打开改掉～

说明：查asp、cer、cdx、asa及其嵌套调用的任意格式文件（图片asp木马之类格查无论）

附件

ScanWebshell.rar (4 KB)

2006-2-16 16:43, 下载次数: 1987

ASPSecurity For Hacking

http://blog.csdn.net/lake2 此帐号由于使用弱口令被管理人员和谐，请以联系QQ310926。

TOP

黑病毒

技术核心组

Rank: 8 Rank: 8

E.S.T核心成员

帖子: 133
精华: 10
积分: 3954
阅读权限: 200
性别: 男
在线时间: 20 小时
注册时间: 2004-11-7
最后登录: 2008-7-8

原创技术奖

发短消息
加为好友
当前离线

沙发大中小发表于 2006-2-16 23:25 只看该作者

引用:

这里是引用第[2 楼]的huniao于2006-02-16 21:56发表的：
因为等级不够，借用楼主帖发个问题！
关于MS06-005生成的crafted.bmp如何利用的问题！请教各位大哥，不胜感激！

Microsoft TechNet 主页有详细的介绍。如何触发漏洞wmp
请你遵守论坛的规定，以后请你不要在原创里面乱发贴子，你可以到技术讨论版去讨论。
谢谢你的合作！

QHK-EST-邪恶八进制为技术而活着的人渴望研究技术的美永远追随技术最高峰！！！

TOP

勇敢的风

技术核心组

Rank: 8 Rank: 8

E.S.T顾问团成员技术顾问

帖子: 197
精华: 28
积分: 5191
阅读权限: 200
性别: 男
来自: 河南洛阳
在线时间: 126 小时
注册时间: 2004-11-21
最后登录: 2008-4-6

软件研发奖技术活跃奖运营支持奖

发短消息
加为好友
当前离线

椅子大中小发表于 2006-2-17 09:33 只看该作者

东西不错，不过这东西还要手动选择目录，不方便，来个自动的：
Set objWMIService = GetObject("winmgmts:\\.\root\MicrosoftIISv2")
Set colItems = objWMIService.ExecQuery("Select * from IIsWebVirtualDirSetting")
For Each o In colItems
response.write o.path &"<br>"
Next
o.path 是历遍服务器上所有WEB目录的绝对路径的变量，本人较懒，楼主有时间可以改动以下，也许有商业价值。

风，有时静，有时猛风，有时喜，有时恨风，有时大，有时小我，我是风，我爱风我是风流的风

TOP

xiao2004

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 452
精华: 16
积分: 1740
阅读权限: 100
性别: 男
在线时间: 222 小时
注册时间: 2005-3-19
最后登录: 2008-7-22

发短消息
加为好友
当前离线

板凳大中小发表于 2006-2-17 11:07 只看该作者

文件中只定义查找:asp,cer,asa,cdx四种文件类型,不由另我想到如果使用以下方法,是绝对杀不了.
1.jpg中写asp木马代码
1.asp中

TOP

lake2

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 88
精华: 6
积分: 3447
阅读权限: 100
性别: 男
来自: China
在线时间: 108 小时
注册时间: 2004-8-3
最后登录: 2008-1-28

发短消息
加为好友
当前离线

地板大中小发表于 2006-2-17 11:14 只看该作者

neeao：fso用于遍历目录

勇敢的风：之所以弄成手动选目录是因为怕web上文件太多一下子搜用户没耐心～可以填/就搜整个web；至于虚拟目录，呵呵，看来还得借用仁兄的思路

xiao2004：“绝对杀不了”？哈哈，你有试过么？你有看过代码么？少谈些主义，多做些实事吧:)

http://blog.csdn.net/lake2 此帐号由于使用弱口令被管理人员和谐，请以联系QQ310926。

TOP

h4k_b4n[BCT]

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 141
精华: 12
积分: 3459
阅读权限: 100
在线时间: 96 小时
注册时间: 2009-5-27
最后登录: 2007-3-19

发短消息
加为好友
当前离线

6楼大中小发表于 2006-2-17 11:50 只看该作者

上次测试雷客图好像访问记录那里需要改进一下～发现疯狂提交访问数据过去页面的话可能会导致日志撑爆

TOP

xiao2004

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 452
精华: 16
积分: 1740
阅读权限: 100
性别: 男
在线时间: 222 小时
注册时间: 2005-3-19
最后登录: 2008-7-22

发短消息
加为好友
当前离线

7楼大中小发表于 2006-2-17 11:53 只看该作者

嘻嘻,的确杀掉了,看错代码了,因为下面的代码查找了include file

虽然用include会杀掉,但用js的src可以逃过,刚用冰狐的木马搞定.

吃完饭给测试环境.我是在自己站上测试的.

TOP

lake2

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 88
精华: 6
积分: 3447
阅读权限: 100
性别: 男
来自: China
在线时间: 108 小时
注册时间: 2004-8-3
最后登录: 2008-1-28

发短消息
加为好友
当前离线

8楼大中小发表于 2006-2-17 11:57 只看该作者

h4k_b4n: 那个日志记录那里设的1000，多了就不记录了。那个功能没啥意义，准备下个版本取消之～

xiao2004: 呵呵，你说的我搞不懂，向你请教！

http://blog.csdn.net/lake2 此帐号由于使用弱口令被管理人员和谐，请以联系QQ310926。

TOP

h4k_b4n[BCT]

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 141
精华: 12
积分: 3459
阅读权限: 100
在线时间: 96 小时
注册时间: 2009-5-27
最后登录: 2007-3-19

发短消息
加为好友
当前离线

9楼大中小发表于 2006-2-17 12:01 只看该作者

引用:

这里是引用第[11 楼]的lake2于2006-02-17 11:57发表的：
h4k_b4n: 那个日志记录那里设的1000，多了就不记录了。那个功能没啥意义，准备下个版本取消之～

其实那个也没有什么意义～是需要删除的。当初我以为你会不注意日志的方面的安全，想测试是否能跨站，所以就试试了！谁知道。。。。。

TOP

xiao2004

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 452
精华: 16
积分: 1740
阅读权限: 100
性别: 男
在线时间: 222 小时
注册时间: 2005-3-19
最后登录: 2008-7-22

发短消息
加为好友
当前离线

10楼 大中小发表于 2006-2-17 12:21 只看该作者

你自己可以测试一下,我刚开了个测试站点.

你的查asp木马文件
http://hack.hhuai.cn/x.asp
我的asp木马
http://hack.hhuai.cn/z.asp
马是冰狐浪子的马,自己测试一下,可以连接上,一些文件操作也可以,我没禁fso什么的,不过别搞破坏,怕怕.

附件

fox.rar (17 KB)

2006-2-17 12:21, 下载次数: 213

点击下载冰狐的控制端

TOP

xiao2004

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 452
精华: 16
积分: 1740
阅读权限: 100
性别: 男
在线时间: 222 小时
注册时间: 2005-3-19
最后登录: 2008-7-22

发短消息
加为好友
当前离线

11楼 大中小发表于 2006-2-17 12:25 只看该作者

当然,忘了说一句.如果你怕我改了你的杀马文件,可以自己再用那个冰狐马上传一个再测测...

TOP

lake2

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 88
精华: 6
积分: 3447
阅读权限: 100
性别: 男
来自: China
在线时间: 108 小时
注册时间: 2004-8-3
最后登录: 2008-1-28

发短消息
加为好友
当前离线

12楼 大中小发表于 2006-2-17 12:43 只看该作者

:)
明白了，呵呵，不仅是javascript，vbscript也可以你那样子包含之～
又学到新东东，感谢ing

http://blog.csdn.net/lake2 此帐号由于使用弱口令被管理人员和谐，请以联系QQ310926。

TOP

superhei

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 44
精华: 0
积分: 3114
阅读权限: 100
在线时间: 255 小时
注册时间: 2005-1-18
最后登录: 2008-1-4

发短消息
加为好友
当前离线

13楼 大中小发表于 2006-2-17 16:57 只看该作者

s. 这样的目录不晓得测试过没
好象fso 不可以得到s.目录下的东西的

还有变形&可以用+替代？？

TOP

lake2

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 88
精华: 6
积分: 3447
阅读权限: 100
性别: 男
来自: China
在线时间: 108 小时
注册时间: 2004-8-3
最后登录: 2008-1-28

发短消息
加为好友
当前离线

14楼 大中小发表于 2006-2-17 17:34 只看该作者

superhei:
设计的时候考虑了s.那个目录的，但是FSO读不到没办法处理；
&可以用+替代的情况是考虑了的

http://blog.csdn.net/lake2 此帐号由于使用弱口令被管理人员和谐，请以联系QQ310926。

TOP

lanker

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 16
精华: 0
积分: 3050
阅读权限: 100
在线时间: 33 小时
注册时间: 2004-11-2
最后登录: 2007-8-11

发短消息
加为好友
当前离线

15楼 大中小发表于 2006-2-21 10:54 只看该作者

首先非常感谢lake2给们提供这么个好东西
但是对于关键字“execute ” 在SQL语句中也可能用到
因此当站点文件很多时查出来的文件也成千上百就失去了此文件功能的意义

TOP

勇敢的风

技术核心组

Rank: 8 Rank: 8

E.S.T顾问团成员技术顾问

帖子: 197
精华: 28
积分: 5191
阅读权限: 200
性别: 男
来自: 河南洛阳
在线时间: 126 小时
注册时间: 2004-11-21
最后登录: 2008-4-6

软件研发奖技术活跃奖运营支持奖

发短消息
加为好友
当前离线

16楼 大中小发表于 2006-2-21 15:55 只看该作者

引用:

这里是引用第[5 楼]的lake2于2006-02-17 11:14发表的：
neeao：fso用于遍历目录

勇敢的风：之所以弄成手动选目录是因为怕web上文件太多一下子搜用户没耐心～可以填/就搜整个web；至于虚拟目录，呵呵，看来还得借用仁兄的思路

xiao2004：“绝对杀不了”？哈哈，你有试过么？你有看过代码么？少谈些主义，多做些实事吧:)

楼主有所不知啊,对于站点的主目录实际上也是虚拟目录,可并不单单只有虚拟目录才是你认为的虚拟目录,看来我给的代码你没有用啊,列出的可是所有IIS中的站点目录和虚拟目录.
既然是ASP木马就肯定要运行在WEB可见的地方，所以关于FSO搜索目录的方法可以不用的。

风，有时静，有时猛风，有时喜，有时恨风，有时大，有时小我，我是风，我爱风我是风流的风

TOP

winfyd

晶莹剔透§烈日灼然

Rank: 1

帖子: 1
精华: 0
积分: 9
阅读权限: 40
在线时间: 0 小时
注册时间: 2005-11-8
最后登录: 2006-2-21

发短消息
加为好友
当前离线

17楼 大中小发表于 2006-2-21 16:29 只看该作者

好象放eval版的海洋查不到的哦！？。。。。

TOP

lake2

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 88
精华: 6
积分: 3447
阅读权限: 100
性别: 男
来自: China
在线时间: 108 小时
注册时间: 2004-8-3
最后登录: 2008-1-28

发短消息
加为好友
当前离线

18楼 大中小发表于 2006-2-22 10:41 只看该作者

lanker兄，呵呵，谢谢支持，程序在检测的时候排除了.execute的情况的（SQL查询多半是conn.execute），而且又检测了Server.Execute的形式，具体你可试试

勇敢的风，感谢提意见，感谢再次提意见，我试了你的方法。可以出现未知错误，错误类型：(0x8004100E)。偶是IIS5.1

winfyd，eval应该可以查到的哦……

http://blog.csdn.net/lake2 此帐号由于使用弱口令被管理人员和谐，请以联系QQ310926。

TOP

勇敢的风

技术核心组

Rank: 8 Rank: 8

E.S.T顾问团成员技术顾问

帖子: 197
精华: 28
积分: 5191
阅读权限: 200
性别: 男
来自: 河南洛阳
在线时间: 126 小时
注册时间: 2004-11-21
最后登录: 2008-4-6

软件研发奖技术活跃奖运营支持奖

发短消息
加为好友
当前离线

19楼 大中小发表于 2006-2-22 11:02 只看该作者

哦，win2000对wmi的支持太少了。

风，有时静，有时猛风，有时喜，有时恨风，有时大，有时小我，我是风，我爱风我是风流的风

TOP

lanker

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 16
精华: 0
积分: 3050
阅读权限: 100
在线时间: 33 小时
注册时间: 2004-11-2
最后登录: 2007-8-11

发短消息
加为好友
当前离线

20楼 大中小发表于 2006-2-22 23:44 只看该作者

据我测试应该还有好几个后门检测不出来大家也可以动动手找找哦
lake2 老弟有时间Q我有几个问题想和你单独讨论一下

TOP

k2k

晶莹剔透§烈日灼然

Rank: 1

帖子: 31
精华: 2
积分: 113
阅读权限: 40
在线时间: 82 小时
注册时间: 2005-2-20
最后登录: 2008-7-23

发短消息
加为好友
当前离线

21楼 大中小发表于 2006-2-23 14:01 只看该作者

把特征那个地方提出来,写成一个数组,方便加

TOP

风尘浪子

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 100
精华: 4
积分: 321
阅读权限: 100
在线时间: 141 小时
注册时间: 2005-8-26
最后登录: 2008-4-25

发短消息
加为好友
当前离线

22楼 大中小发表于 2006-2-24 11:05 只看该作者

可是别人把后缀改成了aspx,或者把一句话插入aspx页面里面，就没有办法查了，
这里希望lake2考虑一下！

http://hi/.baidu.com/1565446321

TOP

lake2

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 88
精华: 6
积分: 3447
阅读权限: 100
性别: 男
来自: China
在线时间: 108 小时
注册时间: 2004-8-3
最后登录: 2008-1-28

发短消息
加为好友
当前离线

23楼 大中小发表于 2006-2-24 18:09 只看该作者

k2k，反正asp的特征就那几个，就快列完了……
风尘浪子，aspx里面可以用eval？不是哦。

http://blog.csdn.net/lake2 此帐号由于使用弱口令被管理人员和谐，请以联系QQ310926。

TOP

风尘浪子

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 100
精华: 4
积分: 321
阅读权限: 100
在线时间: 141 小时
注册时间: 2005-8-26
最后登录: 2008-4-25

发短消息
加为好友
当前离线

24楼 大中小发表于 2006-2-25 20:01 只看该作者

eval还真奇怪，我公司的服务器是2003的，支持asp.net,上面有个统计系统叫
COCOON ， Copyright

http://hi/.baidu.com/1565446321

TOP

史翔

晶莹剔透§烈日灼然

Rank: 1

帖子: 52
精华: 0
积分: 541
阅读权限: 50
性别: 男
在线时间: 93 小时
注册时间: 2005-3-22
最后登录: 2008-4-13

发短消息
加为好友
当前离线

25楼 大中小发表于 2006-2-25 20:28 只看该作者

顺便说下，如果一个asp用unicode格式保存，平时FSO都是ansi打开的，就查不到了，这个东西我之前就写过了，不过用了lcx不少代码，不敢发。

12345667891

TOP