www.netsill.com 2004-1-14  網嗅安全網

參考LCX在X檔案發表過永遠不被殺的的後門，自己就實驗起來,只要把ASP木馬放到其中一個站點中某個深的目錄中，再在Internet 服務管理器面中選著這個站點（比如默認管理站點）打開修改屬性->主目錄中，把“應用程式保護”中改為"低"，再在"寫入""前面打上鉤，在瀏覽器中輸入ASP木馬路徑，輸入密碼以後進入管理頁面，運行CMD命令還可以加用戶之類的果然是管理員權限，呵呵用后發覺還不錯，自覺以為就不錯，而且上傳文件都是在WEB進程上來著，而且還有系統權限，還覺得這樣建立肉雞相對來說比較安全就走了，后來想不到不過幾天這個后門過幾就沒了，瀏覽上去什么都連ASP木馬都沒了，到底怎么回事？而且對方還搞了防火墻，只開21，80端口，眼汪汪丟去真可惜，看來管理員是察覺到了。看著我想有兩個可能，一是ASP木馬被殺，被管理員查到ASP木馬就刪了，二是那個可能管理員看到這個站點的屬性改了就XXX~~~~，你也許會說用站點屬性修改過的可以“寫入”來寫個木馬上去，可是錯了，管理員把默認管理站點都刪了，或者者做其他修改了，昏，本來好好的后門卻成了比較明顯的暴露給管理員看了，而且最新的ASP也被會殺毒，看來個ASP看來這種方法也是不太隱蔽，還需要改進，突然想到可以通過后來參考建立隱藏主頁，而且是虛擬目錄可以設置“應用程序保護”為低的，其他站點中的目錄屬性是不可以設置這樣的屬性的，這樣就不會暴露Internet 服務管理器中任何修改的跡象了，（對于一般的管理員來說，對于BT的我就不敢說了），OK我們來第一步
建立個隱藏虛擬主頁（同時也可以做主頁一舉兩得）

一般情況下，如果在肉雞上開主頁的話，只要管理員查看一下iis管理器程序，就會發現我們的主頁，這樣不但我們的主頁暴露了，還可能會被管理員把我們給踢出去。而今天我教大家的方法是讓管理員在iis管理器里發現不了方法。首先打開肉機（本例中以自己的機器為例）iis管理器，選定一個文件夾，然后點擊右鍵，選擇“資源管理器”，到網站的根目錄下新建一個文件夾kiss，然后到system32上新建一個文件夾，我這里取名為myhome（這個文件夾盡量隱蔽的目錄深一些，才不會被管理員發現），回到iis管理器按f5刷新就會看到kiss這個目錄，選中它后，點擊右鍵，選擇“新建>虛擬目錄”，我們給主個虛擬目錄取名kiss，然后把這個虛擬目錄指向myhome，建立完成后，現在放個首頁進去，打開瀏覽器，輸入
http://127.0.0.1/kiss/kiss就應該可?..性先，修改屬性->主目錄中，把“應用程序保護”中改為"低"，再在"寫入""前面打上鉤，在瀏覽器中輸入ASP木馬路徑，輸入密碼以后進入管理頁面，運行CMD命令還可以加用戶之類的果然是管理員權限，這樣做就是把ASP放到system32/myhome目錄下，比如你ASP木馬是kiss.asp,那么放到
system32/myhome目錄后，瀏http://127.0.0.1/kiss/kiss/kiss.asp 就是你asp木馬的路徑了，讓這樣kiss這個目錄沒有了。然后打開我的電腦，找到網站的根目錄，刪掉kiss這個文件夾，再打開瀏覽器輸入剛才的網址，哈哈，是不是又打開了，怎么樣，一個隱藏的個人主頁就這樣建立完成了。這樣就不再會被管理員發現了吧，你不信就把iis的管理器關了，再進入果然是沒有修改的痕跡，這樣也可以建立網頁，如果你說這樣會增加你的主頁危險性，那你就重新建立個虛擬目錄，不用我說了吧，再者如果再想修改你的虛擬目錄的屬性的話可以再在網站的根目錄重新建立kiss目錄，然后在iis的管理器就可以看到你的站點了

二讓ASP木馬不被殺
你要說是修改ASP木馬其中代碼或者加密等來逃避殺毒，錯了，這個不用你修改，而且誰也不保證你修改過的ASP不被XX殺毒軟件殺，反正我也是懶改，呵呵，我們運行CMD，cd c:\winnt\system32\myhome下也。也就是你虛擬目錄轉向的地址，先說一下原理大家都知道在Windows中“\”符號是路徑的分隔符號，比如“C:\Windows\”的意思就是C分區中的Windows文件夾，“C:\Windows\System.exe”的意思就是C分區中的Windows文件夾中的System.exe文件，好繼續我們假設一下：
如果文件名中有“\”符號會怎么樣呢？假如“S\”是一個文件夾的名字，這個文件夾位于：“F:\”，他的路徑就是“F:\S\”，當我們試圖訪問的時候Windows會錯誤的認為我們要打開的文件是C分區的S文件夾，這樣Windows就無法打開并且會返回一個錯誤，因為以上的路徑并不存在。
也許你現在正在嘗試創建“S\”文件，但是Windows會提示你：“\”符號是不能作為文件、文件夾的名字的。看來Windows還是早已想到這一點了的。OK我們繼續進行，就不信不能建立包含“\”符號的文件。
現在打開你的電腦，我們要做一些很有趣的嘗試。進入Windows后 點擊：開始>運行 然后輸入“cmd”并會車（如果是Win98請輸入“COMMAND”），這時你會看到Windows的命令控制臺，我們就是要利用它完成我們剩下的測試，以下包含了很多命令其中{}中的字符是我的注釋：

Microsoft Windows XP [版本 5.1.2600]
(C) 版權所有 1985-2001 Microsoft Corp.

c:\winnt\system32\myhome>mkdir s\ {我們的第一次嘗試,結果Windows只創建了S文件夾"\"被忽略掉了}

c:\winnt\system32\myhome>mkdir s\s1\ {還是失敗,Windows先創建了S文件夾，然后在S內創建s1文件夾}

c:\winnt\system32\myhome>mkdir s.\ {"s.\"被解析成S".\"又被忽略了}
子目錄或文件 s.\ 已經存在。

c:\winnt\system32\myhome>mkdir s..\ {終于成功了,現在你可以在資源管理器看到"s."但卻無法打開/刪除}

c:\winnt\system32\myhome>mkdir s...\ {又成功了,在資源瀏覽器能吹?s.."可以打開但是無法刪除}

----------------------------------------------

為什么會這樣？我們先說你看到的這個“S.”文件夾，他即不能打開也不能刪除，不能打開是因為他的實際路徑是“c:\winnt\system32\myhome\s..\”（我們自己創建的所以可以確定他的實際路徑）但是在Windows資源管理器中名字變成了“S.”也就是說當你試圖打開它的時候Windows實際上嘗試打開“c:\winnt\system32\myhome\s.\”當然是不能打開的，文件并不存在，所以Windows會報錯。不能刪除也是因為這個，Windows把一個實際存在的文件路徑錯誤的解析為一個不存在的路徑，并進行xx作當然是無法完成的。
該說“S..”這個文件了，這個文件可以打開，但是卻無法刪除。等等……打開？你以為Windows真的是打開了我們創建的“s...\”文件了嗎？我們做下面的試驗你就明白了。還是老規矩{}是我的注釋方便大家理解：
----------------------------------------------
Microsoft Windows XP [版本 5.1.2600]
(C) 版權所有 1985-2001 Microsoft Corp.

c:\winnt\system32\myhome>copy net.asp s..\ {復制剛剛你的asp的木馬文件到“s..\”，資源管理器的“S.”}
已復制 1 個文件。

c:\winnt\system32\myhome>

----------------------------------------------

現在回到你的資源管理器打開“S.”文件夾，你看到了什么？“net.asp”文件怎么會在這里？我們剛剛的確復制到了“S.”呀？難道我們打開“S.”文件夾實際上就是打開了“S”？不錯事實就是這樣。其實如果你再創建一個“S”文件夾的話“S.”就能打開了，但是實際上打開的是“S”。

這是關鍵的話題了，其實我們就利用S.目錄不被殺的目的來隱藏我們的木馬，不管木馬都毒，可是一般來說的exe文件不能在s.這樣的目錄下運行的，但是asp木馬卻可以！可以通過瀏覽來執行CMD命令，把net.asp復制到s.目錄后，把net.asp刪了，我們在瀏覽器http://127.0.0.1/kiss/kiss/s../net.asp 就可以看到瀏覽得asp木馬了到了，一般用戶根本不可能發現他，就算專業級的殺毒軟件也只會去殺“s”而跳過“s..\”，好了那就說一下刪除方法吧

Microsoft Windows XP [版本 5.1.2600]
(C) 版權所有 1985-2001 Microsoft Corp.

F:\Test>dir
驅動器 F 中的卷是 BGTING
卷的序列號是 2C8E-FE1C

F:\Test 的目錄

2003-09-11 17:50 <DIR> .
2003-09-11 17:50 <DIR> ..
2003-09-11 18:35 <DIR> s.
2003-09-11 18:37 <DIR> s..
1 個文件 9 字節
5 個目錄 3,390,029,824 可用字節

c:\winnt\system32\myhome>rmdir s..\
目錄不是空的。

c:\winnt\system32\myhome>rmdir s..\ /s
s..\, 是否確認(Y/N)? y

c:\winnt\system32\myhome>rmdir s...\ /s
s...\, 是否確認(Y/N)? y

這也不用擔心搞壞你肉雞了，好了這樣一個很隱蔽的后門就建立了，而且不被殺，如果在肉雞，上述要在3389進行測試通過的。

 

文章來自: Tank部落格
引用通告: 查看所有引用 | 我要引用此文章
Tags: 後門
相關日誌: