趣答网

#浙江警方抓获黑客#黑客协会:黑客脚本木马系列

先来介绍什么是脚本语言:

脚本语言又被称为扩建的语言,或者动态语言,是一种编程语言,用来控制软件应用程序,脚本通常以文本保存,只在被调用时进行解释或编译。

那么由此可以看出,我们的每个脚本文件,都是被经过一个叫“脚本解释器”的一个东西去解释、编译,然后将二进制传递给CPU。

在我们互联网中的超文本标记语言出现以后,随之就出现了为Web服务器而设计的脚本语言。现在常见的都有:php、asp、aspx……

花无涯带你走进黑客世界之新手脚本入侵步骤

新手必看-脚本入侵-ASP网站入侵一些技巧 先说明下 先看下是不是html转的asp生成的站

webshell 最大的优点就是可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,没有经验的管理员是很难看出入侵痕迹的。

#浙江警方抓获黑客#黑客协会:黑客脚本木马系列

这里讲的是和sql和asp马对网站的提权,再说一下系列文章的问题,很多开始原来有些部分进行的增加或者修改,所以大家直接去微博、知乎、公众号直接翻文章阅读或者点关键字和链接直接访问。找不到的会贴部分链接到文章底部,出来直接点击就好了。

1.什么是脚本

脚本是指全部网页编程语言的一个代名词

2.什么是脚本入侵

脚本入侵是指利用网页编程语言进行入侵的行为

3.什么要学习脚本入侵

现在我问你一个问题:你觉得入侵一个网站,也可以说拿下一个服务器,比起入侵一台个人的电脑,比如XP系统的,哪个更简单? 直接切入主题具体操作步骤。

脚本解释器与脚本语言之间的关系我们可以用一张图来表示:

#浙江警方抓获黑客#黑客协会:黑客脚本木马系列

那么经过脚本解释器的处理以后,我们最终得到的结果就是leafsec。如果脚本里是一个数学表达式,或者其他代码,同样会被脚本解释器去进行运算,最终给出结果。这里的脚本解释器就相当于一个计算器,你是一个小会计(服务器),老板(用户)问你100+200等于多少你用计算器算出来结果,然后组织语言(脚本语言处理的结果,一般是HTML)告诉老板。

请点击此处输入图片描述

0x01 分析

平常我们经常会遇到这类的脚本木马:

#浙江警方抓获黑客#黑客协会:黑客脚本木马系列

请点击此处输入图片描述

那么它的运行过程是什么呢?

#浙江警方抓获黑客#黑客协会:黑客脚本木马系列

当脚本解释器遇到需要再次调用脚本解释器的指令才会去再次调用。可以通俗的讲:脚本中如果有类似于eval这类的表达式,才会再次调用脚本解释器去处理表达式传递的参数。

请点击此处输入图片描述

如果我们将参数指向用户可控范围,那么损失是不可估量的。这有可能构造了一个任意代码执行的漏洞。

下面分析一下解释器:

为了方便理解,我们将上述解析过程中的解释器分割为两块:

#浙江警方抓获黑客#黑客协会:黑客脚本木马系列

动态解释器负责从用户输入的内容中读取代码去解释、运算。

请点击此处输入图片描述

例如PHP中用户可控的变量:$_COOKIE、$_POST、$_GET……

静态解释器负责从服务器上读取脚本文件内容进行解释,如果遇到需要调用动态脚本解释器的时候则调用动态解释器。例如遇到:assert、eval等关键字。

0x02 大多脚本查杀产品的原理

很多产品的脚本木马查杀技术都很相似,基本上是从两个地方查杀。

1.网络请求内容

#浙江警方抓获黑客#黑客协会:黑客脚本木马系列

请点击此处输入图片描述

假设1.php是一个脚本木马,我们输入的字符都将会被当作脚本执行,如果请求参数的值中存在某些危险函数、或者关键字,那么会被防护产品拦截,并且查杀文件。

在网络这块我们可以采用编码、加密传输指令。这样就不会被防护软件检测到。

例如:

传递的时候直接将代码加密即可:

g=cHJpbnRfcihmaWxlX2dldF9jb250ZW50cygnc2gucGhwJykpOw==

2.文件内容

上面已经给出了一个文件免杀的代码,可以看出我们进行了一个字符串拼接,然后调用了assert这个函数,将可控变量传递进去,就构造好了一个后门。

#浙江警方抓获黑客#黑客协会:黑客脚本木马系列

这里的“cGhwaW5mbygpOw==” 是 “phpinfo();”的base64编码结果。

请点击此处输入图片描述

如此一来我们的木马就可以逃避网络请求内容匹配。

说道文件内容的查杀,一般都是采用正则表达式,它的效率是很高的,效果也不错,但是遇到奇葩的文件、或者匹配不到的对象,查杀软件都会把查杀目标当作正常文件。

当匹配到目标中存在可疑的内容、或者关键字的时候,会进行报警、隔离等操作。

我们来分析一下查杀软件与免杀之间的关系:

#浙江警方抓获黑客#黑客协会:黑客脚本木马系列

请点击此处输入图片描述

这里的安全区域指的是我们平常正常运行的项目或者代码,并且基本的查杀软件都可以查杀到,但是能够被执行的代码区域是比安全区域大很多的,这就意味着没有绝对的安全,攻击与防御是相对的。早期的这类产品并没有预测性,不会去主动搜集攻击行为、可疑样本。

AD