ITPub博客

首页 > IT基础架构 > 网络安全 > 网络安全中的“重头戏”脚本攻击技术(转)

网络安全中的“重头戏”脚本攻击技术(转)

原创 网络安全 作者:RegisterForBlog 时间:2007-09-19 19:03:25 0 删除 编辑
网络安全中的“重头戏”脚本攻击技术(转)[@more@]

  脚本攻击在网络安全中永远是个“重头戏”,由此产生的各种攻击性脚本如vbs/js脚本,各种webshell 尤其是webshell是web入侵中必不可少的工具。现在的webshell版本繁多,功能越来越强,这也成为管理员防范和各大杀毒软件追杀的目标。

  下面我以asp的webshell为例子简单说下脚本的变形思路:

  1.classid的使用

  aspshell里的常用的对象名往往是杀毒软件采用的特征码,管理员也可以通过修改注册表,来改变asp对象的名称,但是没个asp对象在系统里有个规定的classid(ps:classid在各个系统有所不同)那么我们就可以通过classid来建立对象,如我们通常建立fso对象是采用下面的语句:

  Set hh=Server.CreateObject("Scripting.FileSystemObject") 那么通过查找“Scripting.FileSystemObject" 来查杀你的脚本,那么我们就可以通过fso对应的classid来建立:

  

  这样还有个好处就是即使管理员改fso的名字,也可以使用。

  以下是常用对象对应的classid:

  WSCRIPT.SHELL 72C24DD5-D70A-438B-8A42-98424B88AFB8

  WSCRIPT.NETWORK 093FF999-1EA0-4079-9525-9614C3504B74

  Scripting.FileSystemObject 0D43FE01-F093-11CF-8940-00A0C9054228

  Scripting.Encoder 32DA2B15-CFED-11D1-B747-00C04FC2B085

  Scripting.Dictionary EE09B103-97E0-11CF-978F-00A02463E06F

  adodb.stream 00000566-0000-0010-8000-00AA006D2EA4

  shell.application 13709620-C279-11CE-A49E-444553540000

  2.使用+或&连接符的妙用

  杀毒软件一般是提高提取特征码来查杀病毒的,所以asp对象名一般就成为了“特征码”了。我们就可以通过使用+或&来拆分对象名。如:

  Set hh=Server.CreateObject("Scripting.FileSystemObject")

  我们就可以提高下面的语句替换:

  Set hh=Server.CreateObject("Scrip"+"ting.file"+"systemobject")

  或

  Set hh=Server.CreateObject("Scrip"&"ting.file"&"systemobject")

  值得一提的是“思易ASP木马追捕”也是一个有asp编写的脚本,用来查杀webshell的,这个脚本先替换掉目标代码里的&在进行查找对象名,那上面简单的使用&就没用了,不过我们可以同过插入空变量来防杀:

  Set hh=Server.CreateObject("Scrip"&"ting.file"&qsdsdsdf&"systemobject")

  其中qsdsdsdf就为空变量,即使替换了所有的&,对象名还是有改变。

  3.改变字母大小写(本文的重点所在)

  其实要通过改变字母的大小写来改变特征码,大小写对应的asii或其他的编码也不同,这样我们可以到达防杀的目的。实现起来也简单,一个系统自带的“记事本”就可以搞定,不过这样要手工一个字母的去替换,你可以自己写个简单的程序帮助你处理,不过注意的问题是,有的代码里有密码加密的函数会受到影响,还有对shell里的htm代码有影响,建立在变形事,采用部分变形(改变大小写)。下面是我vb写的一个变形工具。

  PS:程序只是替换了指定的几个字母,还有就是加入空变量(见2). 如果你编程够好的话,你可以写个程序可以随机改变大小写的,还有部分变形代码。

  

本文来自:http://www.linuxpk.com/30621.html

-->linux电子图书免费下载和技术讨论基地

·上一篇:调试工具TRW2000,VB符号调试初步

·下一篇:黑客技巧:如何绕过防火墙提升权限
 
     最新更新
·注册表备份和恢复

·低级格式化的主要作用

·如何防范恶意网站

·常见文件扩展名和它们的说明

·专家:警惕骇客骗局,严守企业信息

·PGPforWindows介紹基本设定(2)

·解剖安全帐号管理器(SAM)结构

·“恶作剧之王”揭秘

·绿色警戒

·黑客反击战

·网络四大攻击方法及安全现状描述

·可攻击3种浏览器代码流于互联网

·黑客最新的兴趣点,下个目标会是谁?

·“僵尸”——垃圾邮件的主要传播源

·Lebreat蠕虫惊现3变种

·POSTFIX反病毒反垃圾Ų…

·在FreeBSD上用PHP实现在线添加FTP用户

·简单让你在FreeBSDADSL上…

·安全版本:OpenBSD入门技巧解析

·Internet连接共享上网完全攻略

·关于ADSL上网网速常识

·静态缓存和动态缓存的比较

·最友好的SQL注入防御方法

·令网站提速的7大秘方

·网络基础知识大全

·路由基本知识

·端口映射的几种实现方法

·VLAN经典诠释

·问题分析与解决——ADSL错误代码

·问题分析——关于2条E1的线路绑定


关于我们 | 联系方式 | 广告合作 | 诚聘英才 | 网站地图 | 网址大全 | 友情链接 | 免费注册

Copyright © 2004 - 2007 All Rights Reserved

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10763080/viewspace-970169/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论