超强ASP木马-RedHAt Webshell

asp木马下载


radhat webshell 全名称为小红帽webshell,作者 非任何组织人士:小红帽
 

radhat webshell为作者完全独立开发。

测试过程中参考了 群号122157388 K8搞基大队群成员的一些技术思维和帮助,并未有任何T00LS人员参与。

鸣谢 测试人员:(97x01 QQ1109985550)   

鸣谢群号:(K8搞基大队  670643797,Xsec Team 297684665)

RedHAt Webshell操作之前必看。
一、 整体介绍

    本身代码经过变量转换和替换字符加密,可完美过安全狗,护卫神,D盾,safe3 Waf,KOasp木马查杀等IIS防火墙和查杀工具。
 程序结合海洋顶端asp木马、老兵asp木马、Drakblade暗黑之剑1.3版本、05年到13年主流asp木马的优点进行开发完善制作。
 程序在目录检测功能、隐藏功能、数据库操作和提权处做了较大改进,具体请看下列介绍

二、 提交代码经过ascii 2次转码post提交过IIS安全狗,护卫神,D盾,safe3 Waf等IIS防火墙拦截代码。

三、 登陆成功后显示"欢迎界面","欢迎界面"显示服务器安全指数,等级分为 高、中、低三等级,根据wscript.shell磁盘根目录是否可读取等功能判断。
 第一项显示:服务器iis版本、服务器超时时间、以及session信息、服务器CPU数量、主机名、默认管理员信息、Terminal Service终端端口(需要wscript.shell组件支持)支持脚本探测(aspx,php,pl)功能,支持bing查询同服务器所有支持aspx脚本站点。
第二项显示:系统当前路径变量。
  第三项显示:磁盘根目录的读取权限问题(判断是否可跨站)。
第四项显示:常用组件信息,左侧11个为危险组件,右侧11个为安全组件。
  第五项显示:读取c:\windows\system32\sethc.exe 和 c:\windows\system32\magnify.exe 文件的属性、时间、文件体积,从而判断是否被入侵。

四、 右上角的ZONE-H图标为一键提交被黑网页到被黑站点统计www.zone-h.com.cn,个人信息请编辑程序修改,或用生成器生成。
五、 WEB根目录和本程序目录都可以转入文件操作页。
 文件操作一:左侧为磁盘和快捷不安全目录查看(目录为智能判断,不存在则不显示)
 文件操作二:右侧为文件操作模块和文件夹操作模块。
文件操作支持浏览器模式打开、编辑(支持UTF-8模式编辑)、复制、移动、删除(支持强制删除只读属性文件)、修改属性为隐藏or正常、数据库模式编辑。
文件夹操作支持修改文件夹属性、删除、复制、移动
数据库模式编辑支持查看内容、修改内容、删除内容、拖库。
六、 功能一分为三项功能
目录检测功能,补丁检测功能以及端口扫描功能。这三项功能不需要服务器过多脚本支持,故而放到一起。
***目录扫描:
支持单文件检测,目录检测,是否循环所有磁盘,是否选择深度目录扫描和子目录扫描(目录扫描结尾必须加入“\”)
     单文件检测格式:
c:\Program Files (x86)\Helicon\ISAPI_Rewrite3\Rewrite.log
     多文件检测格式:
c:\Program Files (x86)\Helicon\ISAPI_Rewrite3\Rewrite.log
d:\recycler\cmd.exe
单文件循环磁盘检测格式:
x:\Program Files (x86)\Helicon\ISAPI_Rewrite3\Rewrite.log
多文件循环磁盘检测格式:
x:\Program Files (x86)\Helicon\ISAPI_Rewrite3\Rewrite.log
x:\recycler\cmd.exe
 单目录扫描格式(可选是否扫描子目录或文件):
d:\recycler\
多目录扫描格式(可选是否扫描子目录或文件):
d:\recycler\
c:\program files\
单目录循环扫描格式(需改磁盘名称为“x”、可选是否扫描子目录或文件)
x:\program files\
多目录循环扫描格式(需改磁盘名称为“x”、可选是否扫描子目录或文件)
x:\program files\
x:\recycler\
 混合模式扫描格式:(混合模式不如循环扫描磁盘强大,主要是选择)
c:\boot.ini
x:\recycler\cmd.exe
c:\php\
x:\recycler\
......可自行添加
注:一般扫描只选择循磁盘+不包含文件+不包含子目录+显示不可读项+显示不可写项,就足够了,就是默认选项,如果要深度扫描请选择(子目录+包含文件)
***补丁检测:
 补丁检测理论为检测c:\windows\KB*****.log文件是否存在从而判断是否安装安全补丁。
补丁检测格式:[email protected]
 @前的为KB*****.log去掉.log
 @后的为漏洞名称注释,可自设,例:[email protected]提权漏洞
 注;补丁检测只支持windows2003不支持windows2008
***端口扫描:
 端口扫描不多做介绍。
七、功能二分为三项功能:
检测注册表,下载到服务器,文件搜(目录)搜索
***检测注册表:
检测注册表需要wscript.shell组件支持。支持多项检测。
 格式:
HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\MySQL Server 5.0\
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\sysstr
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\svrpass
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\sysdbname
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\systemroot
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\sysdbuser
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\sysdbsa
 读不到或错误项会给出回显。
***下载到服务器:
 下载到服务器支持多项下载,默认覆盖已存在文件,支持下载成功回显,支持错误回显。(需服务器支持XMLHTTP组件,服务器支持外网连接)
 例:
下载地址|下载目录

http://127.0.0.1/1/text1.txt|d:\web1\title.asp

http://127.0.0.1/2/text2.txt|d:\web1\title.html

http://127.0.0.1/3/text3.txt|c:\title.bat

http://127.0.0.1/3/text3.txt|c:\lpk.dll '先进行可写目录检测,然后再替换进行lpl.dll下载可增加提权成功几率。

***搜索文件或文件夹:
搜索文件:
支持后缀名检测:
 格式:
|asp|asa|cer|cdx|aspx|asax|ascx|cs|jsp|php|txt|inc|ini|js|htm|html|xml|config|
 可选择是否扫描子目录。
搜索目录:
 搜索目录支持是否选择子目录。
八、数据库操作:
 数据库操作支持2种数据库(access,Mssql,其中mssql支持mssql2000,mssql2005)。
Access操作方式:在数据库功能选择下拉第三项输入.mdb文件地址,点击提交按钮则可进行操作;或者点击文件操作页选择数据库类文件 点击数据库 则可进行操作。
Access支持编辑内容、修改、删除、拖库等。
  Mssql2000和Mssql2005操作方式:
选择数据库操作大项-SQL SERVER- 输入ip,端口,帐户,密码,数据库名称,则可进入Sqlserver数据库操作模块。
SQL SERVER操作支持执行命令,恢复组件(SQLSERVER2005若不能执行,请执行一键恢复功能)、执行SQLSERVER语句等。
九、执行CMD命令:
 本版本程序对于CMD命令执行未做大的改动。(未加入调用CLSID组件,因为免杀问题暂时放弃了),需要(wscript.shell组件支持)。
   不过加入了/c显示模式,并未写死,大家可以自己设置,可以当做程序执行。
十、用户进程:
 本版本对用户进程做了大的改动,支持用户详细显示,支持用户隶属于组显示、支持管理员组以及详细介绍。
十一、Serveru提权:
 本次Serveru提权功能拷贝DarkBlade的部分代码,支持成功后显示回显。
  默认加入的FTP帐户为go,密码为od,端口为60000
  登陆命令(一行一行敲):
ftp
open 127.0.0.1 60000
go
od
quote site exec net user
十二、隐藏小马:
此功能原创,隐藏过程国内少见。下面先来介绍理论思路。
 在asp SHELL隐藏历史中出现各种隐藏方法,包括早期的include包含jpg文件,带点文件夹,后期的系统保留文件名(nul,lpt,prn等)以及防删除(修改属性只读+隐藏+系统)
 这些虽然有一定优势,但是在发展长河中已经起了专门的防御查杀工具,那么有没有一种办法高强度伪装隐藏的呢?有!下面请看杀猪刀隐藏自身技术。
隐藏分为7个步骤,1查找目录,2选取正常目标文件,3隐藏自身,4复制属性时间,5伪装名称,6减少体积,7增加参数
详细介绍:
例如一个网站结构如下:

http://www.1937cn.net/

/index.asp
/conn.asp
/database/database.mdb
/admin/admin_login.asp
/admin/admin_check.asp
/admin/upload.asp
/admin/admin_index.asp

当触发隐藏小马功能后则:
执行第一步,查找目录,通过遍历web根目录搜索到asp目录最多的文件
执行第二步,选取文件,随机通过asp目录最多的文件夹内取出一个为要伪装成的正常目标文件,例:admin/admin_index.asp
执行第三步,隐藏自身,首先通过xmlhttp获取要伪装的目标文件(http://www.1937cn.net/admin/index.asp)的内容界面,通过ie打开显示此文件的界面
执行第四步,复制属性时间,复制admin/index.asp文件的属性以及时间
执行第五步,伪装名称,通过自带的几个后缀随机选择一个伪装shell的名称(_request_send_sumbit_include_config_open_form_month_data)
  ,例:admin/admin_form.asp
执行第六步,减少体积,通过截取自身28k文件操作代码为小马,加入上述功能
执行第七步,增加参数,参数即为小马登陆密码通过修改代码自行设置,格式:admin/admin_form.asp?pass
这样,一个小马的隐藏就完成了,通过安全狗,护卫神,koasp查杀工具,均查杀不出来。
通过查看时间admin/admin_form.asp文件的时间仿造的admin/admin_index.asp文件的时间。
体积仅28k,登陆需要参数,文件名均伪装正常文件+后缀格式,完美防爆破。

------------------------------
注:大家可能用着不习惯,不过后期就习惯了,你会发现它的诸多优点。
Ps:不足之处:感觉提权不是很强大,因为个人能力有限,解包需要用生成器,不能调用Clsid执行CMD,对有些浏览器兼容不大好,完美支持IE6、IE7、IE8。
生成器支持添加统计,当然你也可以做为后门使用,可以设置小马后缀,可以设置扫描目录等。。。


asp木马下载


5kikASP大马.rar


  原文链接:http://www.5kik.com/aspmuma/17.html

相关文章

夕阳
夕阳
发布于 2017-05-22 22:40:33  回复
等等
等等
发布于 2018-01-14 13:06:56  回复
这个不过狗了。求过狗的asp大马 我的邮箱[email protected],或者qq1830809758
有包子解包工具的吗
有包子解包工具的吗
发布于 2018-04-06 00:52:24  回复
有包子解包工具的吗
有包子解包工具的吗
有包子解包工具的吗
发布于 2018-04-06 00:52:52  回复
有包子解包工具的吗

发表评论:

验证码

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。