深入一句话木马 by 深林孤鹰

　　　　有空研究了一下海洋,发现海洋的eval版本是在是绝顶,将一句话木马功能发挥到了极限,也就是说,不必用一句话上传小马,在小马上传大马,这样有几个弊端:1是太繁琐,2是可能会被杀软杀掉,3是可能会被代理或其他检测出来送交网监部(危险啊),4是如果目录限制不可写,那就没辙.5是放个那么大的木马文件,不想被发现也难,6是webshell可能会有后门..现在,我说一下海洋eval版的原理,并且可以将自己喜欢的木马改造成eval版本,解决了上述全部问题!

　　　　eval版本的原理就是将木马的源代码保存至session变量中,当然application变量和cookie变量(只支持4k)也可以.然后让一句话执行:execute(session("木马变量"))即可,如何上传呢?我写了一个客户端,可以提交两个post,一个post让一句话执行:session("木马变量")=request("post木马"),这样就保存OK了!保存在了内存中!注意:eval语句不支持vbscript.encode加密代码,且如果是asp和html混合的木马文件,需要转换一下(html->asp),这个转换工具已经集成在了我的客户端中.

　　　　至于如何改造,大马一般都是给自己发送post或get来执行任务,所以必须在所有的form表单中加入一个input,hidden类型,name为一句话木马接受的名,值为:execute(session("木马变量")),这样每次操作,首先执行了木马,木马再从变量中提取数据,这样就解决了问题!另外,像如标记a指向自己的URL后面也要加上:变量=execute(session("木马变量"))才可以正常执行!

　　　　这个方法不仅适用于asp,还是用于aspx(c#类型),php,不知道jsp行不,没研究过~

　　　　如何?1句话木马已经完全等价于大马了,无论是隐藏性,体积,安全都是绝对一流!

　　　　对了,本文章只供学习之用,不要非法目的云云,如果打官司本人不负任何责任(没办法,哈哈)...