您的当前位置：首页正文

201110实验三木马

来源：星星旅游

实验三木马及远程控制技术

练习一网页木马

一、实验目的

该实验为设计性实验。  剖析网页木马的工作原理  理解木马的植入过程  学会编写简单的网页木马脚本  通过分析监控信息实现手动删除木马

二、实验内容

1. 2. 3.

木马生成与植入利用木马实现远程控制木马的删除

注：详细实验操作请参考实验室服务器上的参考资料。

三、实验步骤

本练习主机A、B为一组，C、D为一组，E、F为一组。实验角色说明如下：

实验主机主机A、C、E 主机B、D、F 实验角色木马控制端（木马客户端）木马被控端（木马服务器）下面以主机A、B为例，说明实验步骤。首先使用“快照X”恢复Windows系统环境。（一）木马生成与植入

在进行本实验步骤之前，我们再来阐述一下用户主机通过访问被“挂马”的网站而被植入木马的过程，便于同学们理解和完成实验。

（1）用户访问被“挂马”的网站主页。（此网站是安全的）

（2） “挂马”网站主页中的代码链接一个网址（即一个网页木马），使用<p>户主机自动访问网页木马。（通过把<iframe>设置成不可见的，使用户无法察觉到这个过程）（3）网页木马在得到用户连接后，自动发送安装程序给用户。<p>（4）如果用户主机存在MS06014漏洞，则自动下载木马安装程序并在后台运行。（5）木马安装成功后，木马服务端定时监测控制端是否存在，发现控制端上线后立<p>即弹出端口主动连接控制端打开的被动端口。（6）客户端收到连接请求，建立连接。<p>1．生成网页木马<p>（1）主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。（2）主机A进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马<p>程序。（3）主机A生成木马的“服务器程序”。<p>主机A单击木马操作界面工具栏“配置服务程序”按钮，弹出“服务器配置”对话框,单击“自动上线设置”属性页，在“IP通知http访问地址、DNS解析域名或固定IP”文本框中输入本机IP地址，在“保存路径”文本框中输入“D:\\Work\\IIS\\Server_Setup.exe”，单击“生成服务器”按钮，生成木马“服务器程序”。<p>（4）主机A编写生成网页木马的脚本。<p>在桌面建立一个“Trojan.txt”文档，打开“Trojan.txt”，将实验原理中网马脚本写入，并将脚本第15行“主机IP地址”替换成主机A的IP地址。把“Trojan.txt”文件扩展名改为“.htm”，生成“Trojan.htm”。<p>「注」 C:\\ExpNIS\\NetAD-Lab\\Projects\\Trojan\\Trojan.htm文件提供了VB脚本源码。将生成的“Trojan.htm”文件保存到“D:\\Work\\IIS\\”目录下(“D:\\Work\\IIS\\”为“木马网站”的网站空间目录)，“Trojan.htm”文件就是网页木马程序。<p>2．完成对默认网站的“挂马”过程<p>（1）主机A进入目录“C:\\Inetpub\\wwwroot”，使用记事本打开“index.html”文<p>件。<p>「注」“默认网站”的网站空间目录为“C:\\Inetpub\\wwwroot\\”,主页为“index.html” （2）对“index.html”进行编辑。在代码的底部加上<iframe>语句，具体见实验原<p>理｜名词解释｜iframe标签（需将http://www.jlcss.com/index.html修改为http://本机IP:9090/Trojan.htm），实现从此网页对网页木马的链接。<p>3．木马的植入<p>（1）主机B设置监控。<p>2<p>主机B进入实验平台，单击工具栏“监控器”按钮，打开监控器。<p>在向导栏中依次启动“进程监控”、“端口监控”，选择“文件监控”，在菜单栏中选择“选项”|“设置”，在设置界面中设置监视目录“C:\\Windows\\”（默认已被添加完成），操作类型全部选中，启动文件监控。<p>启动协议分析器，单击菜单“设置”｜“定义过滤器”，在弹出的“定义过滤器”对话框中选择“网络地址”选项卡，设置捕获主机A与主机B之间的数据。<p>新建捕获窗口，点击“选择过滤器”按钮，确定过滤信息。在捕获窗口工具栏中点击“开始捕获数据包”按钮，开始捕获数据包。<p>主机B启动IE浏览器，访问“http://主机A的IP地址”。<p>（2）主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件<p>目录浏览”树中出现“自动上线主机”时通知主机B。（3）主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕<p>获到的信息。在“进程监控”|“变化视图”中查看是否存在“进程映像名称”为<p>“Hacker.com.cn.ini”的新增条目。观察进程监控信息，结合实验原理回答下面的问题。<p>Hacker.com.cn.ini文件是由哪个进程创建的：；在“服务监控”中单击工具栏中的“刷新”按钮，查看是否存在“服务名称”为“Windows XP Vista” 的新增条目，观察服务监控信息，回答下面的问题。<p>Windows XP vista服务的执行体文件是：；<p>在“文件监控”中查看“文件名”为“C:\\WINDOWS\\Hacker.com.cn.ini”的新增条目。在“端口监控”中查看“远程端口”为“8000”的新增条目，观察端口监控信息，回答下面问题：<p>8000服务远程地址（控制端）地址：；<p>经过对上述监控信息的观察，你认为在“进程监控”中出现的winlogoin.exe进程（若存在）在整个的木马植入过程中起到的作用是：；<p>（4）主机B查看协议分析器所捕获的信息。<p>注意图26-1-1中划线部分的数据，结合实际结果找到对应的信息。<p>3<p>图26-1-1 协议分析器捕获信息<p>（二）木马的功能<p>1．文件管理<p>（1）主机B在目录“D:\\Work\\Trojan\\”下建立一个文本文件，并命名为<p>“Test.txt”。（2）主机A操作“灰鸽子远程控制”程序来对主机B进行文件管理。<p>单击“文件管理器”属性页，效仿资源管理器的方法在左侧的树形列表的“自动上线主机”下找到主机B新建的文件“D:\\Work\\Trojan\\Test.txt”。在右侧的详细列表中对该文件进行重命名操作。<p>（3）在主机B上观察文件操作的结果。<p>2．系统信息查看<p>主机A操作“灰鸽子远程控制”程序查看主机B的操作系统信息。单击“远程控制命令”属性页，选中“系统操作”属性页，单击界面右侧的“系统信息”按钮，查看主机B操作系统信息。<p>3．进程查看<p>（1）主机A操作“灰鸽子远程控制”程序对主机B启动的进程进行查看<p>单击“远程控制命令”属性页，选中“进程管理”属性页，单击界面右侧的“查看进程”按钮，查看主机B进程信息。<p>（2）主机B查看“进程监控”|“进程视图”枚举出的当前系统运行的进程，并和主<p>机A的查看结果相比较。<p>4．注册表管理<p>主机A单击“注册表编辑器”属性页，在左侧树状控件中“远程主机”（主机B）注册表的“HKEY_LOCAL_MACHINE\\Software\\” 键下，创建新的注册表项；对新创建的注册表项<p>4<p>进行重命名等修改操作；删除新创建的注册表项，主机B查看相应注册表项。<p>5． Telnet<p>主机A操作“灰鸽子远程控制”程序对主机B进行远程控制操作，单击菜单项中的“Telnet”按钮，打开Telnet窗口，使用“cd c:\\”命令进行目录切换，使用“dir”命令显示当前目录内容，使用其它命令进行远程控制。<p>6．其它命令及控制<p>主机A通过使用“灰鸽子远程控制”程序的其它功能（例如“捕获屏幕”），对主机B进行控制。<p>（三）木马的删除<p>1．自动删除<p>主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。具体做法：选择上线主机，单击“远程控制命令”属性页，选中“系统操作”属性页，单击界面右侧的“卸载服务端”按钮，卸载木马的“服务器”程序。<p>2．手动删除<p>（1）主机B启动IE浏览器，单击菜单栏“工具”｜“Internet 选项”，弹出<p>“Internet 选项”配置对话框，单击“删除文件”按钮，在弹出的“删除文件”对话框中，选中“删除所有脱机内容”复选框，单击“确定”按钮直到完成。（2）双击“我的电脑”，在浏览器中单击“工具”|“文件夹选项”菜单项，单击<p>“查看”属性页，选中“显示所有文件和文件夹”，并将“隐藏受保护的操作系统文件”复选框置为不选中状态，单击“确定”按钮。（3）关闭已打开的Web页，启动“Windows 任务管理器”。单击“进程”属性页，<p>在“映像名称”中选中所有“IEXPLORE.EXE”进程，单击“结束进程”按钮。（4）删除“C:\\Widnows\\Hacker.com.cn.ini”文件。<p>（5）启动“服务”管理器。选中右侧详细列表中的“Windows XP Vista”条目，单击右键，在弹出菜单中选中“属性”菜单项，在弹出的对话框中，将“启动类型”改为“禁用”，单击“确定”按钮。（6）启动注册表编辑器，删除<p>“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Windows XP Vista”节点。（7）重新启动计算机。<p>（8）主机A如果还没卸载灰鸽子程序，可打开查看自动上线主机，已经不存在了。<p>四、考核方式<p>实验过程的考核点主要包括：操作过程正确、配置结果正确、解决问题的能<p>5<p>力等。实验报告的考核点主要包括：报告格式规范、语言规范、实验过程记录正确、实验体会深刻、思考题回答正确等。<p>五、思考题<p>1．列举出几种不同的木马植入方法。 2．列举出几种不同的木马防范方法。<p>附：实验原理<p>一．网页木马原理及相关定义<p>浏览器是用来解释和显示万维网文档的程序，已经成为用户上网时必不可少的工具之一。“网页木马”由其植入方式而得名，是通过浏览网页的方式植入到被控主机上，并对被控主机进行控制的木马。与其它网页不同，木马网页是黑客精心制作的，用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。<p>如果打开一个网页，IE浏览器真的能自动下载程序和运行程序吗？如果IE真的能肆无忌惮地任意下载和运行程序，那么用户将会面临巨大的威胁。实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。本练习中，我们利用微软的MS06014漏洞，完成网页木马的植入。二．名词解释 1．MS06014漏洞<p>6<p>MS06014漏洞存在于Microsoft Data Access Components，利用微软的HTML Object标签的一个漏洞，Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质，因此Web页面里面的程序就会不经过用户的确认而自动执行。 2．iframe标签<p>iframe也叫浮动帧标签，它可以把一个HTML网页嵌入到另一个网页里实现“画中画”的效果。例如：<p>被嵌入的网页可以控制宽、高以及边框大小和是否出现滚动条等。如果把宽（width）、高（height）、边框（frameborder）都设置为0，代码插入到首页后，首页不会发生变化，但是嵌入的网页实际上已经打开。 3．反弹端口型木马<p>分析防火墙的特性后可以发现，防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口。木马定时监测控制端的存在，发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。服务端通常会把打开的端口伪装成应用软件的端口，从而进一步降低被防火墙发现的概率。 4．网页木马生成脚本<p>通常网页木马是通过“网马生成器”将木马安装程序的下载地址附加在网页上的，进而达到用户浏览含有木马的网页即自动下载安装程序的目的。下面给出一个“网马生成器”脚本，其中“//”后面的文字是对代码的注释。实验中，同学们改动此脚本，自己动手生成网页木马。<p>7<p>三．木马的工作过程<p>木马的工作过程可分为四部分：木马的植入、木马的安装、木马的运行和木马的自启动。 1．木马的植入<p>网页木马就是一个由黑客精心制作的含有木马的HTML网页，因为MS06014漏洞存在，当用户浏览这个网页时就被在后台自动安装了木马的安装程序。所以黑客会千方百计的诱惑或者欺骗人们去打开他所制作的网页，进而达到植入木马的目的。不过随着人们网络安全意识的提高，<p>8<p>这种方法已经很难欺骗大家了。<p>还有一种方法就是通过<iframe>标签，在一个正常网站的主页上链接网页木马。浏览者在浏览正常的网站主页时，iframe语句就会链接到含有木马的网页，网页木马就被悄悄植入了。这种方法就是大家经常说的“挂马”，而中了木马的主机通常被幽默的称作“肉鸡”。“挂马”因为需要获取网站管理员的权限，所以难度很大。不过他的危害也是十分巨大的，如果黑客获得了一个每天流量上万的知名网站的管理员权限并成功“挂马”，那试想他会有多少“肉鸡”。 2．木马的安装<p>木马的安装在木马植入后就被立即执行。（本练习以灰鸽子木马程序为例）当网页木马植入后，木马会按照通过网页木马脚本中指向的路径下载木马服务端安装程序，并根据脚本中的设定对安装程序进行重命名。通常会重新命名一个与系统进程相近的名字（本实验中为winlogin.exe）来迷惑管理员，使安装过程及其留下的痕迹不通过细心查看不易被发觉。安装程序下载完成后，自动进行安装。生成可执行文件C:\\Windows\\hack.com.cn.ini，并修改注册表生成名为windows XP Vista的系统服务。其中hack.com.cn.ini就是木马服务器程序隐藏在背后的主谋。 3．木马的运行<p>灰鸽子木马服务器安装完成后就会立刻连接网络寻找其客户端，并与其建立连接。这时木马程序会将自己的进程命名为IEXPLORE.EXE，此进程与Windows的IE浏览器进程同名，同样是为了迷惑管理员来伪装自己。当木马服务端与客户端建立连接后，客户端就如同拥有了管理员权限一样，可随意对“肉鸡”进行任何操作。 4．木马的自启动<p>木马安装时生成系统服务Windows XP Vista。Windows XP Vista的可执行文件路径：“C:\\WINDOWS\\Hacker.com.cn.ini。”描述：“灰鸽子服务端程序，远程监控管理。”启动类型：<p>9<p>“自动。”很明显可以看出灰鸽子是通过此系统服务执行hack.com.cn.ini文件来自启动木马服务器。存在于系统目录下的Hack.com.cn.ini文件被设置成一个隐藏的受保护的操作系统文件，很难被人发现。四．灰鸽子木马的功能灰鸽子历程<p>2000 年第一个版本的灰鸽子诞生，并被各大安全厂商“关注”。 2002 年灰鸽子被安全厂商列入病毒库。<p>2003 年灰鸽子“牵手版”受到安全爱好者的追捧，使用人数超过冰河。 2003 年灰鸽子工作室开始进行商业运作，对用户实行会员制。 2004 年灰鸽子变种病毒泛滥，广大网友谈“灰”色变。<p>2005 年灰鸽子发展迅速，灰鸽子工作室网站访问量保持上升状态，论坛注册会员突破90000人。<p>2006年灰鸽子的发展达到顶峰，占据了木马市场的半壁江山。<p>2007年灰鸽子引起国内各大杀软厂商的声讨，对灰鸽子的“全民围剿”正式开始。灰鸽子工作室最终关闭。<p>比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、简易便捷的操作、良好的隐藏性使其他木马程序都相形见绌。灰鸽子客户端和服务端都是采用Delphi编写。利用客户端程序配置出服务端程序，可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。下面简要的介绍一下灰鸽子木马的基本功能。<p>（1）反向连接：由木马的“服务器程序”主动发起连接，这种连接方式也称为“反弹木<p>10<p>马”，它的优点是可以突破NAT和防火墙。<p>（2）文件管理：可以操作（查看、新建、删除等）被控主机的文件系统及上传下载文件。（3）注册表管理：可以操作（查看、新建、删除等）被控主机的注册表项。（4）系统信息查看：可以查看被监控主机的系统配置信息等。（5）剪贴板查看：可以查看被监控主机的剪贴板内容。<p>（6）进程管理：可以查看被监控主机的进程表或杀死某个进程。（7）服务管理：可以启动、停止被监控主机的服务程序。（8）共享管理：可以新建、删除被监控主机的共享。（9）Telnet：可以远程控制被监控主机的命令行。<p>（10）配置代理服务器：可以利用被控制主机为跳板，对第三方进行攻击。（11）插件功能：可以捆绑第三方软件。<p>（12）命令广播：控制端可以把控制命令一次性广播到若干台计算机。（13）捕获屏幕：可以查看被监控主机的屏幕图像。（14）视频语音：可以进行视频监控和语音监听。五．木马的删除<p>木马的“客户端程序”可以控制木马的“服务器程序”的删除工作。另一种方法是通过手动删除，具体步骤将在“实验步骤”中详细说明。<p>11<p>练习二 Webshell<p>一、实验目的<p>该实验为设计性实验。  了解什么是webshell  了解webshell的工作原理  学会编写webshell<p>二、实验内容<p>（一）Webshell木马<p>（二）通过权限控制防范该类木马<p>（三）编写Asp木马文件上传功能（选做）<p>注：详细实验操作请参考实验室服务器上的参考资料。<p>三、实验步骤<p>本练习主机A、B为一组，C、D为一组，E、F为一组。下面以主机A、B为例，说明实验步骤。<p>“快照X”恢复Windows系统环境。 (一) Webshell木马<p>1. 创建可浏览C盘下所有文件的Webshell<p>（1）主机A参照实验原理四，通过使用Asp语言的wscript.shell控件，编写可以浏<p>览C盘下所有文件的Webshell。（2）主机A将代码保存为shell.asp，放入Web服务器的“木马网站2”的目录下（默<p>认目录为D:\\Work\\IIS）并启用该网站。<p>「注」“木马网站2”的虚拟目录为D:\\Work\\IIS，端口为9090。（3）主机B访问主机A中的shell.asp，查看shell.asp的效果，效果如图26-2-1<p>所示：<p>12<p>图26-2-1 shell.asp的效果<p>2. 使用现有木马控制web服务器<p>假设主机A已经被主机B在“木马网站”中植入ASP木马，下面操作均在此前提下进行。（1）主机B访问主机A“木马网站2”下的木马文件asptroy.asp，查看木马效果，熟<p>悉每一个标签的功能。如图26-2-2所示：「注」登录密码为“1111”，其中部分功能需要输入二次鉴权密码，二次鉴权密码为“111111”。<p>图26-2-2 asptroy.asp 的效果<p>（2）主机B对木马的相关功能进行验证，这里以Wscript.shell功能为例，点击木马<p>中的“Wscript.shell”选项，进入“Wscript.shell”页面中执行cmd功能（当第一次进入“Wscript.shell”页时，需要输入二次鉴权密码，并重新选择“Wscript.shell”页签），“命令/参数”中输入命令“dir”，点击运行按钮，查看运行效果，如图26-2-3所示：<p>13<p>图26-2-3 asptroy.asp的cmd功能<p>（3）主机B分析Asp木马中实现“cmd命令”功能的代码，部分代码如下：<p>在上述代码中可以看到，一开始程序先用CreateObject方法建立了一个wscript.shell控件的对象，然后用cmdStr存储想要执行的命令字符串，利用创建的对象调用函数执行cmdStr中的命令，之后处理cmdResult以表单的形式回显给浏览器，这与实验原理四中的内容基本相同。<p>（4）结论：webshell木马之所以拥有如此强大的控制功能，全部得益于Asp程序的组<p>件引入功能。而对于PHP、Perl这些语言来说，他们自身就提供了一些可以操作文件、执行系统命令的函数，有了这些函数同样也可以制作出这些开发语言下的webshell程序。<p>（二）通过权限控制防范该类木马<p>（1）主机A右击我的电脑->管理->本地用户和组->用户，右击IUSR_HOST账户选择<p>“设置密码”在弹出的对话框中点击“继续”，设置密码“123456”，确认。（2）主机A在“木马网站2”的属性中选择“目录安全性”选项卡，如图26-2-4所示：<p>14<p>图26-2-4 目录安全性选项卡<p>（3）主机A在“目录安全性”选项卡中对身份验证和访问控制项进行编辑，点击“编<p>辑”按钮，在用户名处点击“浏览”，在弹出的选择用户对话框中输入IUSR_HOST 账户，点击“检查名称”按钮为其生成完成名称，如图26-2-5所示：<p>图26-2-5 选择用户<p>（4）点击确定后返回身份验证方法对话框，在密码处输入密码“123456”再次确认密<p>码后点击“确定”设置账户成功。（5）主机B在浏览器中输入http://主机A的IP:9090/shell.asp地址，查看修改后<p>的访问效果，效果为：。（6）主机B再次访问主机A“木马网站2”下的木马文件asptroy.asp，进入<p>“Wscript.shell”页面的效果为。<p>（三）编写Asp木马文件上传功能(选做)<p>（1）该步骤需要同学们编写一个具有文件上传功能的木马，上传函数名称为<p>streamUpload(thePath,fileName)，具体代码如下：<p>15<p>「注」木马框架upfile.asp文件在“木马网站2”中已经给出，并且在C:\\ExpNIS\\NetAD-Lab\\Projects\\Trojan\d.txt文件提供了streamUpload(thePath,fileName)函数源码。（2）主机A把编写好的函数添加到upfile.asp文件的指定位置。<p>（3）主机B访问upfile.asp，输入密码“1111”后查看效果并对上传功能进行验证，<p>如图26-2-6所示：<p>16<p>图26-2-6 upfile.asp界面<p>「注」“上传路径”为上传文件置于服务器中的相对路径，并且需要为上传文件指定名称。例如：“D:\\Work\\IIS\est.txt”。<p>四、考核方式<p>实验过程的考核点主要包括：操作过程正确、配置结果正确、解决问题的能力等。实验报告的考核点主要包括：报告格式规范、语言规范、实验过程记录正确、实验体会深刻、思考题回答正确等。<p>五、思考题<p>1．请举出目前流行的webshell类型及典型。 2．请举出webshell提权的具体方法（不少于三种）。<p>附：实验原理<p>一．webshell的定义<p>木马程序本来是存在于应用软件层面的一个分类，它特指那些用来实现远程控制、监视用户计算机，盗取用户信息资料的程序。现在，木马程序已经不再单独被应用软件享有，web应用程序同样能实现木马程序的功能，webshell是web入侵的脚本攻击工具。简单的说来，webshell就是一个asp或php木马后门。黑客在入侵了一个网站后，常常将这些asp或php木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起。然后黑客就可以通过web的方式，通过asp或php木马后门控制网站服务器，包括上传下载文件、查看数据库、执行程序命令等。二．产生webshell的原因<p>17<p>Shell这个词语来自UNIX系统，意思是一个可以跟用户进行交流，然后按照用户要求执行命令的外壳程序，壳下面是操作系统，这样就可以将系统的复杂性给隐藏起来，用户用到的只是一些简单的命令就可以达到操作计算机的目的了。Webshell也正是这样，利用web开发语言的特殊功能，只需要将系统命令输入到表单中，提交后，webshell就可以执行命令并返回执行结果，相当于通过web程序制作出了一个系统shell，并且它还是可以远程访问的。三．webshell分类<p>目前较为主流的webshell主要是针对ASP、ASP.NET、PHP、JSP、Perl这五种语言编写的Web应用程序。比较流行的webshell有：WebAdmin（ASP.NET）、PhpSpy（PHP）、冰狐B/S型webshell、海洋顶端（ASP）和XML木马。四．webshell原理<p>Web应用程序的服务端语言在提供基本数据处理功能的基础上，往往还会有一些额外的辅助功能，而服务端语言与系统本身相结合可以达到控制系统的作用。下面使用ASP语言，利用wscript.shell控件，实现控制服务器程序，浏览C盘目录下所有文件。<p>第一行的代码是使用server.createobject创建了一个wscript.shell对象。wscript.shell是注册在Windows系统内部的一个ActiveX控件。ActiveX是指基于COM的技术结合，他的作用是允许编程人员重用别人编写好并打包好的程序功能，ActiveX控件可以使用在网页或者程序中，<p>18<p>常见的在网页中看视频的功能就是利用ActiveX技术实现的。打开注册表HEKY_CLASSES_ROOT键值，Windows系统中注册的所有ActiveX控件都在这里，如图26-2-1所示：<p>图26-2-1 ActiveX控件在注册表中的位置<p>在图26-2-1中，可看到wscript.shell的键值，证明wscript.shell确实是系统的一个注册控件。这些系统控件有着自己独特的功能，往往可以用在Web应用程序中，付诸程序实现某些较为特殊的功能，像这里使用的wscript.shell就是一个用来执行程序调用的控件，代码第二行就马上利用wscript.shell的run函数来执行程序cmd.exe，同时，让cmd.exe执行一段命令C:\\ >dir D:\emp.txt。这段命令很简单，就是将C盘下的文件列表结果保存到D盘下的temp.txt文件中，接着代码第四行建立了一个新的控件对象scripting.filesystemobject，这个对象是一个操作文件系统的专用控件对象，利用它的opentextfile函数来打开temp.txt文件，然后使用一个循环语句，将temp.txt文件中的所有内容给打印出来。<p>19<p>五．webshell提权<p>当一个攻击者将自己的webshell上传到web服务器时，很可能会发现自己的webshell有时只能访问某一些文件或者执行某一些命令，这是因为web服务器的管理人员对服务器进行了一定的权限控制。这种权限控制策略往往会将那些有意渗透进入服务器的攻击者限制在一个很小的范围内，这大大降低了服务器遭受严重恶意破坏的可能性。于是攻击者寻找突破这种权限限制的方法，“webshell提权”正是这样一种攻击技术。<p>目前webshell提权的主流方法都是利用服务器上存在的一些漏洞进行的。例如Serv-U FTP服务软件漏洞。Serv-U FTP服务软件的配置文件ServUDaemon.ini中保存着登录该FTP的所有用户信息，如果一个攻击者通过webshell能够访问到ServUDaemon.ini，那么他只需要在这个文件中加入如下代码，就可以成功创建一个拥有最高权限的用户。<p>此外攻击者不但可以借助这些FTP服务软件来帮助实现提权，还可以借助web服务器操作系统的漏洞来帮助实现提权。所以说，只要攻击者能够成功上传webshell到服务器上，他就能有很大的几率拿下整个服务器。六．防范ASP木马的方法<p>（1）建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序来上传或者维护网页。<p>（2）对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程序，只要可以上传文件的asp都要进行身份认证！另外可以在不需要上传功能时将实现上传的asp文件改名或删除，如upload.asp、upfile.asp等，然后在需要使用时再通过ftp恢复原名或重新上传。<p>20<p>（3）asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性，服务器上设置.mdb文件防下载功能。（4）要尽量保持程序是最新版本。<p>（5）不要在网页上加注后台管理程序登录页面的链接。<p>（6）为防止程序有未知漏洞，可以在维护后删除后台管理程序的登录页面，下次维护时再通过ftp上传即可。<p>（7）要时常备份数据库等重要文件。<p>（8）日常要多维护，并注意空间中是否有来历不明的asp文件。尤其是用来专门存放上传文件的目录，如:uploadfile、uploadsoft等，如果发现不明的*.asp或*.exe文件应该立即删除，因为这些文件有90%的可能是入侵程序。<p>（9）一旦发现被入侵，除非客户自己能识别出所有木马文件，否则要删除所有文件。重新上传文件前，所有asp程序用户名和密码都要重置，并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。<p>（10）安装必要的入侵检测系统，及时更新杀毒软件。<p>（11）针对木马的防范，我们只要在注册表中把“shell.application”、“WSCRIPT.SHELL”等危险的脚本对象（因为它们都是用于创建脚本命令通道的）进行改名或删除，也就是限制系统对“脚本SHELL”的创建，ASP木马也就成为无本之木、无米之炊，运行不起来了。<p>21<p> <div class="preview-ft"> <div class="preview-title"> <p style="color: red;"><strong>因篇幅问题不能全部显示，请点此查看更多更全内容</strong></p> <div class="model-fold-cover-bd"><a href="https://www.tang5.com/mlossk/nreexxvsasx/" target="_blank"><span>查看全文</span><i class="iconfont icon-chakangengduo"></i></a></div> </div> </div> <script type="text/javascript" src="https://jss.stra.cn/pc/wenzhang/detail_left.js"></script> </div> <div class="qz_f"> </div> </div> <script type="text/javascript" src="https://jss.stra.cn/pc/wenzhang/wenzhang/detail_foot.js"></script> <script type="text/javascript" src="https://jss.stra.cn/pc/share_right_gg1.js"></script> <script type="text/javascript" src="https://jss.huatuo6.com/pc/share_right_xgzx.js"></script> <script type="text/javascript" src="https://jss.stra.cn/pc/share_right_gg2.js"></script> <script type="text/javascript" src="https://jss.huatuo6.com/pc/share_right_rmyd.js"></script> </div> <div class="n_right"> <script type="text/javascript" src="https://jss.stra.cn/pc/share_cebian_gg1.js"></script> <script type="text/javascript" src="https://jss.huatuo6.com/pc/share_cebian_rmht.js"></script> <script type="text/javascript" src="https://jss.stra.cn/pc/share_cebian_gg2.js"></script> <script type="text/javascript" src="https://jss.huatuo6.com/pc/share_cebian_rmtw.js"></script> <script type="text/javascript" src="https://jss.stra.cn/pc/share_cebian_gg3.js"></script> <script type="text/javascript" src="https://jss.huatuo6.com/pc/share_cebian_wntj.js"></script> </div> </div> <div class="footer"> <p>Copyright © 2019-<span class="currentYear"></span> 版权所有 </p> </div> <a href="#0" class="cd-top">Top</a> <script type="text/javascript" src="https://jss.stra.cn/pc/foot_foot.js"></script> <script type="text/javascript"> jQuery(".focusBox").hover(function () { jQuery(this).find(".prev,.next").stop(true, true).fadeTo("show", 0.2) }, function () { jQuery(this).find(".prev,.next").fadeOut() }); jQuery(".focusBox").slide({mainCell: ".pic", effect: "fold", autoPlay: true, delayTime: 600, trigger: "click"}); </script> <script type="text/javascript"> $(function () { var _line = parseInt($(window).height() / 3); $(window).scroll(function () { if ($(window).scrollTop() > 75) { $('.i_sidemenu').css({'position': 'fixed', 'top': '75px'}) } else { $('.i_sidemenu').css({'position': '', 'top': ''}) } ; }); }); $(function () { var _line = parseInt($(window).height() / 3); $(window).scroll(function () { if ($(window).scrollTop() > 1000) { $('.right_a').css({'position': 'fixed', 'top': '75px'}) } else { $('.right_a').css({'position': '', 'top': ''}) } ; }); }); </script> <script type="text/javascript"> const currentYear = new Date().getFullYear(); $('.currentYear').html(currentYear) </script> <script type="text/javascript" src="https://jss.huatuo6.com/pc/tj_foot.js"></script> </body> </html>