網路安全中的“重頭戲”指令碼攻擊技術(轉)

網路安全中的“重頭戲”指令碼攻擊技術(轉)[@more@]

　　指令碼攻擊在網路安全中永遠是個“重頭戲”，由此產生的各種攻擊性指令碼如vbs/js指令碼，各種webshell 尤其是webshell是web入侵中必不可少的工具。現在的webshell版本繁多，功能越來越強，這也成為管理員防範和各大防毒軟體追殺的目標。

　　下面我以asp的webshell為例子簡單說下指令碼的變形思路：

　　1.classid的使用

　　aspshell裡的常用的物件名往往是防毒軟體採用的特徵碼，管理員也可以透過修改登錄檔，來改變asp物件的名稱，但是沒個asp物件在系統裡有個規定的classid（ps：classid在各個系統有所不同）那麼我們就可以透過classid來建立物件，如我們通常建立fso物件是採用下面的語句：

　　Set hh=Server.CreateObject("Scripting.FileSystemObject") 那麼透過查詢“Scripting.FileSystemObject" 來查殺你的指令碼，那麼我們就可以透過fso對應的classid來建立：

　　

　　這樣還有個好處就是即使管理員改fso的名字，也可以使用。

　　以下是常用物件對應的classid：

　　WSCRIPT.SHELL 72C24DD5-D70A-438B-8A42-98424B88AFB8

　　WSCRIPT.NETWORK 093FF999-1EA0-4079-9525-9614C3504B74

　　Scripting.FileSystemObject 0D43FE01-F093-11CF-8940-00A0C9054228

　　Scripting.Encoder 32DA2B15-CFED-11D1-B747-00C04FC2B085

　　Scripting.Dictionary EE09B103-97E0-11CF-978F-00A02463E06F

　　adodb.stream 00000566-0000-0010-8000-00AA006D2EA4

　　shell.application 13709620-C279-11CE-A49E-444553540000

　　2.使用+或&連線符的妙用

　　防毒軟體一般是提高提取特徵碼來查殺病毒的，所以asp物件名一般就成為了“特徵碼”了。我們就可以透過使用+或&來拆分物件名。如：

　　Set hh=Server.CreateObject("Scripting.FileSystemObject")

　　我們就可以提高下面的語句替換：

　　Set hh=Server.CreateObject("Scrip"+"ting.file"+"systemobject")

　　或

　　Set hh=Server.CreateObject("Scrip"&"ting.file"&"systemobject")

　　值得一提的是“思易ASP木馬追捕”也是一個有asp編寫的指令碼，用來查殺webshell的，這個指令碼先替換掉目的碼裡的&在進行查詢物件名，那上面簡單的使用&就沒用了，不過我們可以同過插入空變數來防殺：

　　Set hh=Server.CreateObject("Scrip"&"ting.file"&qsdsdsdf&"systemobject")

　　其中qsdsdsdf就為空變數，即使替換了所有的&，物件名還是有改變。

　　3.改變字母大小寫（本文的重點所在）

　　其實要透過改變字母的大小寫來改變特徵碼，大小寫對應的asii或其他的編碼也不同，這樣我們可以到達防殺的目的。實現起來也簡單，一個系統自帶的“記事本”就可以搞定，不過這樣要手工一個字母的去替換，你可以自己寫個簡單的程式幫助你處理，不過注意的問題是，有的程式碼裡有密碼加密的函式會受到影響，還有對shell裡的htm程式碼有影響，建立在變形事，採用部分變形(改變大小寫)。下面是我vb寫的一個變形工具。

　　PS：程式只是替換了指定的幾個字母，還有就是加入空變數(見2). 如果你程式設計夠好的話，你可以寫個程式可以隨機改變大小寫的，還有部分變形程式碼。

　　

·上一篇：

·下一篇：

最新更新
	· · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·