老莫的笔记本  
  
请选择 进入手机版 | 继续访问电脑版
查看: 580|回复: 0

木马上传 与 一句话木马

[复制链接]

572

主题

767

帖子

3637

积分

超级版主

Rank: 8Rank: 8

积分
3637
发表于 2019-5-26 23:30:07 | 显示全部楼层 |阅读模式
/*

        常见的webshell (后门)称呼
       
        shell 文件可以从服务端接收数据并执行、返回结果;
       
        一句话木马: 通常是一句话那么长的 eval 后门。  这个 括号里的字符串 就是菜刀中的密码
       
                例如:    <%eval request("MH")%>
               
                Asp环境:<%eval request(“a”)%>

                Php环境:<?php @eval($_POST[‘a’]);?>

                Aspx环境:<% @page Language=”Jscript”><%eval(Request.item[“a”],”unsafe”);%>
               
       
        小马: 通常是一个体积小的变形后门,主要用途是上传大马。

        大马: 自带多功能的后门,通常为了方便使用, 体积过大不容易过WAF。

        ================================= 上述三种 ,由于上传文件格式被限制,导致基本没啥卵用=====================================
        图片码: 将代码放进 图片里【而不破坏图片本身结构】  通常所被利用的漏洞是: iis6中的解析漏洞
       
        常识: 每个文件 的识别 是用 .txt 打开时, 开头是一致的
        PK 开头为 压缩文件
       
       
        原理,以及 菜刀使用
       
                        一句话木马的漏洞为:
       
       
        一句话木马的使用方法:
        1. 制作木马 为 图片木马:
                1.1  将图片以文本方式打开 ;
                1.2  不管里面的内容有多少,只保留前面三行,其他内容删掉。直接将一句话木马附上去 ; 【根据服务器语言 做出选择】
                1.3  然后保存,成功制作。

        2. 将木马上传到服务器。
                2.1 在实际情况时, 直接上传.php .asp 之类的木马会被拦截,所以一般都上传的图片木马, 可图片木马根本没啥卵用,
                        因为它不执行也不可执行。 所以 这个图片木马的作用就微乎其微了。在尝试的时候,我这个图片木马上传后,把URL存出来
                        ,然后用菜刀链接, 报错405 。   并且报错为iis6.0 的漏洞。 然后上传 .cer 文件 。 因为.cer 文件会被iis6.0  解析并执行。
                        接着更改菜刀链接,链接到这个cer文件,就可以了。   
       
       
        3. 该上传文件的URL 放到菜刀等工具中 【】
       
        4. 双击测试 是否链接成功;
       
       
       
        菜刀链接成功后的操作 :
       
        1. shell 权限
        2. WS组件
        3. cmd 命令 Net user/tasklist/netstat
        4. ACL 访问控制
       
        我们通常会通过 调用  wscript.exe  的方式进行CMD执行。
       
        反弹的shell 的权限会比普通shell 要高。
       
        socks 运行空间层级更高
       
        WshShell 对象可以运行程序、操作注册表、创建快捷方式、访问系统文件
       
       
        在对方的CMD命令行中, 如此查找远程桌面连接的端口?如何获取对方远程桌面的登录端口号?
       
        查看通过CMD查看进程、 通过CMD查看所有活动链接。
        原理:1.如果对方开启了远程桌面,那么将开启一个服务。
                               
                  2.服务会挂载进程下 。
                                TermService 就是远程桌面服务的名字  挂载在svcgost.exe 下, PID 是1560】    //这个是从进程中查看到的
                  3.端口查询
                                然后 使用CMD命令查找活动链接,找PID == 1560的  对应的IP与端口号 就是 远程连接端口


       
       
               
        参考文献: https://blog.csdn.net/lixue20141529/article/details/78024525  中国菜刀使用教程
        参考文献: https://blog.csdn.net/qq_37865996/article/details/86645298        【米斯特安全笔记】

       
               
*/



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表