|
二、捆绑
不一定PE文件才有捆绑技术,其实字符文件也有。首先准备一幅图片,蓝屏大叔一句话木马。然后运行asp图片木马生成器,将asp.asp及jpg.jpg放到该程序所在目录,填上文件名后如图5所示。
“生成图片木马”就会在同目录下生成一个“aspmuma.gif”文件,接着用瑞星进行查杀,如图6。
如果要捆绑其他格式的木马可以用微软的copy.exe,格式:copy.exe /b jpg.jpg+asp.asp asp.gif,如图7。
其中/b是用来表示二进制文件,并且jpg.jpg必须放在“+”前面。然后打开一句话客户端进行连接看看,如图8。
我的评价:这种方法局限性比较大,只允许一句话木马,为什么呢?是因为IIS处理图片木马的时候表面上已经将它解释成图片了,所以用大马捆绑的话所执行的内容是不会显示出来的。
三、文件头欺骗
上面两种方法比较老了,现在介绍一种新颖点的。在5月的黑客手册里,马骏介绍了bbsxp程序的文件头欺骗上传漏洞,相信大家又入侵了一批bbsxp的网站。那么,文件头可以欺骗服务器继而上传,又能不能欺骗杀毒软件进行asp木马免杀呢?告诉大家,答案是肯定的。
首先将其他文件格式的文件头,例如:gif、exe、rar、php加入到asp木马中,如图9。
在这里,我加入的是php脚本的文件头,大家可以用记事本打开文件得知其文件格式的文件头,如图10。
上一页 [1] [2] [3] [4] 下一页 |
