馳騁網(wǎng)站的“一句話木馬”

萬立夫＠《木馬攻防全攻略》

還記得大名鼎鼎的“熊貓燒香”病毒嗎？這個病毒很厲害的，它可以下載其他木馬病毒到用戶的電腦中進(jìn)行破壞，并讓黑客能夠遠(yuǎn)程控制用戶的電腦。其實(shí)，在腳本木馬中，也有類似于“熊貓燒香”病毒的，它們被大家俗稱為“一句話木馬”。可別小看這些只有短短一句服務(wù)端代碼的木馬喲，它們可以上傳其他的腳本木馬到目標(biāo)網(wǎng)站所在的服務(wù)器中，以實(shí)現(xiàn)對這些服務(wù)器的控制，甚至還能對磁盤進(jìn)行格式化，讓服務(wù)器中的數(shù)據(jù)瞬間化為烏有！

注：本文僅為技術(shù)研究，文中相關(guān)軟件有技術(shù)研究興趣的讀者可在網(wǎng)上搜索下載。

見識“一句話木馬”

我們上網(wǎng)時，為了保證文件在網(wǎng)絡(luò)傳輸?shù)倪^程中不出問題，多會選用各種專業(yè)的下載和上傳工具。今天所說的“一句話木馬”，在入侵網(wǎng)站服務(wù)器的時候也就是起到類似的作用。因?yàn)椤耙痪湓捘抉R”的服務(wù)端代碼非常短小，如最常見的服務(wù)端代碼eval request("pass")，所以很容易上傳到網(wǎng)站服務(wù)器中。不過“一句話木馬”自身的功能非常有限，因此其作用就是再上傳其他功能強(qiáng)大的腳本木馬到網(wǎng)站服務(wù)器中運(yùn)行，下面就以上傳經(jīng)典的“海陽頂端網(wǎng)ASP木馬”為例。

黑客一般是先破解網(wǎng)站服務(wù)器的系統(tǒng)管理員賬戶，盜用其權(quán)限來上傳服務(wù)端的ASP代碼。或者把含有服務(wù)端代碼的ASP文件修改成一個圖片文件，這樣就能以該網(wǎng)站普通注冊用戶的身份進(jìn)行上傳了，網(wǎng)站系統(tǒng)會誤認(rèn)為上傳的是一個安全的圖片文件。當(dāng)我們把 “一句話木馬”的ASP文件上傳到目標(biāo)網(wǎng)站的服務(wù)器中后，就可以在本機(jī)中用網(wǎng)頁形式的客戶端進(jìn)行連接了。

首先，在客戶端網(wǎng)頁中輸入ASP文件的網(wǎng)址，并輸入預(yù)先設(shè)定在服務(wù)端代碼中的連接密碼（默認(rèn)密碼是pass，用戶可自己修改）。然后，用系統(tǒng)自帶的“記事本”打開“海陽頂端網(wǎng)ASP木馬”，復(fù)制里面所有的代碼信息。最后，在客戶端網(wǎng)頁中的“這里輸入您的ASP后門代碼”處，粘貼剛剛復(fù)制的代碼并單擊“上傳”按鈕，就可以對網(wǎng)站服務(wù)器進(jìn)行連接并上傳“海陽頂端網(wǎng)ASP木馬”了。上傳成功后，就可以用“海陽頂端網(wǎng)ASP木馬”對該網(wǎng)站的服務(wù)器進(jìn)行各種各樣的控制操作，如掛馬、破壞數(shù)據(jù)庫、非法管理甚至是格式化等。

看，用“一句話木馬”控制網(wǎng)站服務(wù)器簡單吧？

如何配置“一句話木馬”

當(dāng)我們看過“一句話木馬”的威力之后，現(xiàn)在回頭來看看其內(nèi)含服務(wù)端代碼的ASP文件是如何配置出來的。

其實(shí)，不用專門的配置軟件，只需要利用前面的“海陽頂端網(wǎng)ASP木馬”，就能夠輕輕松松地配置一個“一句話木馬”。首先，運(yùn)行“海陽頂端網(wǎng)ASP木馬”文件夾中的2006X.exe文件，在打開的窗口中點(diǎn)擊“打開”按鈕導(dǎo)入其腳本木馬文件，并填寫服務(wù)端的密碼。然后，點(diǎn)擊“轉(zhuǎn)換”按鈕，默認(rèn)會生成一個2006.asp.htm客戶端網(wǎng)頁。最后，點(diǎn)擊“生成服務(wù)端頁面”按鈕，設(shè)好存盤路徑及文件名后，就得到一個“一句話木馬”的ASP文件了。

用“海陽頂端網(wǎng)ASP木馬”配置出來的“一句話木馬”，在使用2006.asp.htm客戶端網(wǎng)頁連接網(wǎng)站服務(wù)器時，還可以省去前面復(fù)制、粘貼代碼的操作步驟，因?yàn)橐呀?jīng)導(dǎo)入其腳本木馬文件了。

如果你覺得剛剛生成的“一句話木馬”的ASP文件不夠“苗條”，那么可以重新生成一個“瘦身”版的。運(yùn)行“海陽頂端網(wǎng)ASP木馬”文件夾中的2006X2.exe文件，就能生成容量更小的ASP文件了（2006X2.exe的操作和前面講過的2006X.exe類似，這里就不再贅述）。不過要提醒大家的是，在設(shè)置時密碼要與圖2中的密碼完全一致才行喲。