webshell/asp/lpl38-com-RedHat/readme.txt
2014-03-12 08:50:59 +08:00

153 lines
7.2 KiB
Text
Raw Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

操作之前必看。
一、 整体介绍
     本身代码经过变量转换和替换字符加密,可完美过安全狗,护卫神,D盾,safe3 Waf,KOasp木马查杀等IIS防火墙和查杀工具。
 程序结合海洋顶端asp木马、老兵asp木马、Drakblade暗黑之剑1.3版本、05年到13年主流asp木马的优点进行开发完善制作。
 程序在目录检测功能、隐藏功能、数据库操作和提权处做了较大改进,具体请看下列介绍
二、 提交代码经过ascii 2次转码post提交过IIS安全狗,护卫神,D盾,safe3 Waf等IIS防火墙拦截代码。
三、 登陆成功后显示"欢迎界面",欢迎界面显示服务器安全指数等级分为 高、中、低三等级根据wscript.shell磁盘根目录是否可读取等功能判断。
 第一项显示服务器iis版本、服务器超时时间、以及session信息、服务器数量、主机名、默认管理员信息、Terminal Service终端端口需要wscript.shell组件支持支持脚本探测(aspx,php,pl)功能支持bing查询同服务器所有支持aspx脚本站点。
第二项显示:系统当前路径变量。
  第三项显示:磁盘根目录的读取权限问题(判断是否可跨站)。
第四项显示常用组件信息左侧11个为危险组件右侧11个为安全组件。
  第五项显示读取c:\windows\system32\sethc.exe  c:\windows\system32\magnify.exe 文件的属性、时间、文件体积,从而判断是否被入侵。
四、 右上角的ZONE-H图标为一键提交被黑网页到被黑站点统计www.zone-h.com.cn,个人信息请编辑程序修改,或用生成器生成。
五、 WEB根目录和本程序目录都可以转入文件操作页。
 文件操作一:左侧为磁盘和快捷不安全目录查看(目录为智能判断,不存在则不显示)
 文件操作二:右侧为文件操作模块和文件夹操作模块。
文件操作支持浏览器模式打开、编辑(支持UTF-8模式编辑)、复制、移动、删除支持强制删除只读属性文件、修改属性为隐藏or正常、数据库模式编辑。
文件夹操作支持修改文件夹属性、删除、复制、移动
数据库模式编辑支持查看内容、修改内容、删除内容、拖库。
六、 功能一分为三项功能
目录检测功能,补丁检测功能以及端口扫描功能。这三项功能不需要服务器过多脚本支持,故而放到一起。
***目录扫描:
支持单文件检测,目录检测,是否循环所有磁盘,是否选择深度目录扫描和子目录扫描(目录扫描结尾必须加入“\”)
     单文件检测格式:
c:\Program Files (x86)\Helicon\ISAPI_Rewrite3\Rewrite.log
     多文件检测格式:
c:\Program Files (x86)\Helicon\ISAPI_Rewrite3\Rewrite.log
d:\recycler\cmd.exe
单文件循环磁盘检测格式:
x:\Program Files (x86)\Helicon\ISAPI_Rewrite3\Rewrite.log
多文件循环磁盘检测格式:
x:\Program Files (x86)\Helicon\ISAPI_Rewrite3\Rewrite.log
x:\recycler\cmd.exe
 单目录扫描格式(可选是否扫描子目录或文件)
d:\recycler\
多目录扫描格式(可选是否扫描子目录或文件)
d:\recycler\
c:\program files\
单目录循环扫描格式(需改磁盘名称为“x”、可选是否扫描子目录或文件)
x:\program files\
多目录循环扫描格式(需改磁盘名称为“x”、可选是否扫描子目录或文件)
x:\program files\
x:\recycler\
 混合模式扫描格式:(混合模式不如循环扫描磁盘强大,主要是选择)
c:\boot.ini
x:\recycler\cmd.exe
c:\php\
x:\recycler\
......可自行添加
注:一般扫描只选择循磁盘+不包含文件+不包含子目录+显示不可读项+显示不可写项,就足够了,就是默认选项,如果要深度扫描请选择(子目录+包含文件)
***补丁检测:
 补丁检测理论为检测c:\windows\KB*****.log文件是否存在从而判断是否安装安全补丁。
补丁检测格式KB952004@MS09-012
 @前的为KB*****.log去掉.log
 @后的为漏洞名称注释,可自设,例KB123456@PR提权漏洞
 补丁检测只支持windows2003不支持windows2008
***端口扫描:
 端口扫描不多做介绍。
七、功能二分为三项功能:
检测注册表,下载到服务器,文件搜(目录)搜索
***检测注册表:
检测注册表需要wscript.shell组件支持。支持多项检测。
 格式:
HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\MySQL Server 5.0\
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\sysstr
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\svrpass
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\sysdbname
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\systemroot
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\sysdbuser
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\sysdbsa
 读不到或错误项会给出回显。
***下载到服务器:
 下载到服务器支持多项下载默认覆盖已存在文件支持下载成功回显支持错误回显。需服务器支持XMLHTTP组件服务器支持外网连接
 例:
下载地址|下载目录
http://127.0.0.1/1/text1.txt|d:\web1\title.asp
http://127.0.0.1/2/text2.txt|d:\web1\title.html
http://127.0.0.1/3/text3.txt|c:\title.bat
http://127.0.0.1/3/text3.txt|c:\lpk.dll '先进行可写目录检测然后再替换进行lpl.dll下载可增加提权成功几率。
***搜索文件或文件夹:
搜索文件:
支持后缀名检测:
 格式:
|asp|asa|cer|cdx|aspx|asax|ascx|cs|jsp|php|txt|inc|ini|js|htm|html|xml|config|
 可选择是否扫描子目录。
搜索目录:
 搜索目录支持是否选择子目录。
八、数据库操作:
 数据库操作支持2种数据库(access,Mssql,其中mssql支持mssql2000,mssql2005)。
Access操作方式在数据库功能选择下拉第三项输入.mdb文件地址点击提交按钮则可进行操作或者点击文件操作页选择数据库类文件 点击数据库 则可进行操作。
Access支持编辑内容、修改、删除、拖库等。
  Mssql2000和Mssql2005操作方式
选择数据库操作大项SQL SERVER- 输入ip,端口帐户密码数据库名称则可进入Sqlserver数据库操作模块。
SQL SERVER操作支持执行命令恢复组件SQLSERVER2005若不能执行请执行一键恢复功能、执行SQLSERVER语句等。
九、执行CMD命令
 本版本程序对于CMD命令执行未做大的改动。(未加入调用CLSID组件因为免杀问题暂时放弃了),需要(wscript.shell组件支持)。
   不过加入了/c显示模式并未写死大家可以自己设置可以当做程序执行。
十、用户进程:
 本版本对用户进程做了大的改动,支持用户详细显示,支持用户隶属于组显示、支持管理员组以及详细介绍。
十一、Serveru提权
 本次Serveru提权功能拷贝DarkBlade的部分代码支持成功后显示回显。
  默认加入的FTP帐户为go密码为od端口为60000
  登陆命令(一行一行敲)
ftp
open 127.0.0.1 60000
go
od
quote site exec net user
十二、隐藏小马:
此功能原创,隐藏过程国内少见。下面先来介绍理论思路。
 在asp SHELL隐藏历史中出现各种隐藏方法包括早期的include包含jpg文件带点文件夹,后期的系统保留文件名(nul,lpt,prn等)以及防删除(修改属性只读+隐藏+系统)
 这些虽然有一定优势,但是在发展长河中已经起了专门的防御查杀工具,那么有没有一种办法高强度伪装隐藏的呢?有!下面请看杀猪刀隐藏自身技术。
隐藏分为7个步骤1查找目录2选取正常目标文件3隐藏自身4复制属性时间,5伪装名称6减少体积7增加参数
详细介绍:
例如一个网站结构如下:
http://www.1937cn.net/
/index.asp
/conn.asp
/database/database.mdb
/admin/admin_login.asp
/admin/admin_check.asp
/admin/upload.asp
/admin/admin_index.asp
当触发隐藏小马功能后则:
执行第一步查找目录通过遍历web根目录搜索到asp目录最多的文件
执行第二步选取文件随机通过asp目录最多的文件夹内取出一个为要伪装成的正常目标文件admin/admin_index.asp
执行第三步隐藏自身首先通过xmlhttp获取要伪装的目标文件(http://www.1937cn.net/admin/index.asp)的内容界面通过ie打开显示此文件的界面
执行第四步复制属性时间复制admin/index.asp文件的属性以及时间
执行第五步伪装名称通过自带的几个后缀随机选择一个伪装shell的名称_request_send_sumbit_include_config_open_form_month_data
  admin/admin_form.asp
执行第六步减少体积通过截取自身28k文件操作代码为小马加入上述功能
执行第七步,增加参数,参数即为小马登陆密码通过修改代码自行设置,格式:admin/admin_form.asp?pass
这样,一个小马的隐藏就完成了,通过安全狗,护卫神,koasp查杀工具均查杀不出来。
通过查看时间admin/admin_form.asp文件的时间仿造的admin/admin_index.asp文件的时间。
体积仅28k登陆需要参数文件名均伪装正常文件+后缀格式,完美防爆破。
------------------------------
注:大家可能用着不习惯,不过后期就习惯了,你会发现它的诸多优点。
Ps:不足之处感觉提权不是很强大因为个人能力有限解包需要用生成器不能调用Clsid执行CMD对有些浏览器兼容不大好完美支持IE6、IE7、IE8。
生成器支持添加统计,当然你也可以做为后门使用,可以设置小马后缀,可以设置扫描目录等。。。