 |
  |
|
| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | | ||||
 |
|
|||||||
|
||||||||
|
|||||
| 见过这样种asp木马吗?---隐藏虚拟目录 | |||||
作者:冰狐浪子 文章来源:CnXHacker.Net 点击数: 更新时间:2004-11-22  |
|||||
|
不知大家是否看到一些关于在微软的IIS中建立"隐藏虚拟目录"的文章或录象,为了照顾初学者,我再简单介绍一下: 大体是在网站的"根目录"下新建立一个"文件夹"如"icyfox",然后在所建立的文件夹"icyfox"下建立一个虚拟目录如"lovelace",使"lovelace"指向你在机器上建立的主页或"IIS后门"的目录路径,然后把网站的"根目录"下建立的新文件夹"icyfox"删除,这样原来显示在"Internet 服务管理器"中目录"icyfox"连同"lovelace"就会消失不见,而你却可以得到一个类似"http://www.*****.***/icyfox/lovelace/"的隐蔽访问地址,于是一个隐藏的主页或IIS后门就这样诞生啦! 也许大家看到这个想到的首先是又有一个隐蔽自己的方法可以用啦,自己快去把肉鸡打扮一下变成主页去,但你可曾想过它是否真的是隐蔽的?如果自己是管理员又该如何防范这种"隐蔽方式"? 当我第一次看到这种隐蔽方法时,也曾欣喜,但冷静下来想想,既然我们还可以访问这个"隐藏的虚拟目录",那么"IIS"一定在某个地方保存着这种映射关系,不然我们不可能通过网络来访问,于是我通过用文件和注册表监视工具"FileMon"、"RegMon"进行监视,但却不知是何原因却无法找到被改写的文件或注册表项,后来通过询问网友"动鲨"得知"IIS"的配置保存在系统目录下inetsrv目录中的"MetaBase.bin"文件中的,在这个文件中保存着虚拟目录的映射关系,(可我再次用FileMon监视,还是无法获得对文件MetaBase.bin的操作,请知道原因的网友给个答案!QQ:76416026谢谢你!) 看到这里大家应该已经明白,所谓的隐藏大概只是"Internet 服务管理器"在显示虚拟目录时的一个BUG而已,如果对MetaBase.bin进行分析是可以找到"隐藏虚拟目录"的,但这样做也太麻烦啦! 有没有啥好的工具来完成这个任务呢?当然有!不然我也不会写这篇文章啦!那就是同样是微软的"管理工具"中的"Personal Web Server",也就是"PWS"个人WEB管理器,它可是专门用来管理"WEB 站点"的,同样在安装"IIS"时也是默认安装的一个工具,在这里所有的虚拟目录都会清清楚楚的摆在你的面前。 建立一个"隐藏虚拟目录"后,打开"PWS"个人WEB管理器,点击左侧的"高级",进入高级选项,这里的"虚拟目录"下的框中显示着所有的虚拟映射关系,如图一:  图中清楚的显示出"icyfox"以及它下面的"lovelace"虚拟目录; 我们再打开"Internet 服务管理器",如图二:  在图二中我们却看不到"icyfox"或"lovelace"虚拟目录的影子! 到这里这个所谓的"隐藏虚拟目录"就完完全全的暴露在你或者是你的肉鸡管理员眼皮底下啦!试问这样的隐藏你还想用吗?你还敢用吗?也许你的"肉鸡"就是这样飞的!网站管理员们也请你们用"PWS"仔细检查一下自己的服务器是不是有"可疑的虚拟目录",发现后要赶快清理后门呀! 后记之意外发现: 在研究这个"隐藏虚拟目录"问题时发现了一个好玩的关于利用注册表建立多层"虚拟目录"的现象,一并献给大家,也许它并没有啥用途?大家知道在注册表"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots"项下存放着网站根目录下建立的虚拟目录的映射关系,我实验发现在这个项下面可以快速建立多层次"虚拟目录",方法如下: 建立如下注册表文件"xunimulu.reg": Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots] "/a/b/c/d/e/f/g/hicyfox"="G:\\我的主页,,217" 把xunimulu.reg导入注册表,如果"IIS"重起,则会自动把你导入的内容删除,但同时也会为你建立"/a/b/c/d/e/f/g/hicyfox"的虚拟目录,其中"hicyfox"指向"G:\我的主页"目录(如图三),你可以用"http://www.*****.***/a/b/c/d/e/f/g/hicyfox/"来访问,用这种方式建立的"虚拟目录"在"Internet 服务管理器"同样是处于隐藏状态,在"PWS"中现原形!  最后说明: 这篇文章没有任何技术含量,我只是想通过它来向广大"黑友"发出要"怀疑一切"的口号!让我们在"怀疑"中共同进步,测试中求新知,"怀疑"是最好的老师! |
|||||
| 文章录入:IceRiver 责任编辑:admin | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
| 最新热点 | 最新推荐 | 相关文章 | ||
| 小心为上 Flash木马是这样练 小心防范 木马是这样伪装你知 高手都是这样清除系统垃圾的 我是这样修改FTP的密码的 |
 网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!) |
 |
|
| 关于我们 - 版权声明 - 帮助(?) - 广告服务 - 联系我们 - 友情链接 - 用户注册 - | Powered by ICE RIVER - STUDIO |
|
|
| » CnXHacker.CoM |  |
© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved. |
