用鱼竿隐藏webshell〓华西安全联盟华西黑客联盟〓 >> ——打造中华西部大型计算机网络安全资讯站点

信息来源：邪恶八进制信息安全团队（）
文章作者：网络盗圣&Ncking（)

  这文章我考虑很久才决定发上来，因为发上来我觉得没什么技术含量，怕占用邪八宝贵的版面，后来问了问cery大哥才决定发上了，大家如果觉得有什么不好的地方尽管提

  哈哈，这题目写的还行吧？钓鱼攻击都知道吧，没玩过也知道怎么用吧，就是利用例如“I""1"”0“”o“之类的形似字来诱导客户的，我今天研究过雷克图时候发现不少正常的程序也会被雷克图报告说是可疑文件，甚至有的是高危。因为毕竟那些东西也是ASP写的，功能越全用到的技术越多，木马当然也会用到那些技术，自然也就被误报了。可是这却给了我们一点点可称之机，下面用我的截图简单说明一下。不过我相信不少朋友应该想到这一点了。
图一
=800)window.open('http://forum.eviloctal.com/attachment/Mon_0704/10_27818_0d9a1c9dd9f9696.jpg');"src="http://forum.eviloctal.com/attachment/Mon_0704/10_27818_0d9a1c9dd9f9696.jpg"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';"border=0>
上面这个是正常情况下的PJBLOG的blogedit.asp，雷克图会认为有可疑
图二
=800)window.open('http://forum.eviloctal.com/attachment/Mon_0704/10_27818_0403e2cd59bb1f7.jpg');"src="http://forum.eviloctal.com/attachment/Mon_0704/10_27818_0403e2cd59bb1f7.jpg"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';"border=0>
上面这个是带有木马的截图，下面的高危是木马，仔细看看文件名你会发现其实地下是”0“而不是”o“，不知道为什么
在我本地改文件名的时候”0“和”o”很明显，但是到了雷克图的显示页面中，几乎分不出来。

看了前两张截图，我想大家肯定会有我当时的顾虑，人家前两个是危险级别，后两个是高危级别，会不起疑心呢？那就再看看下一张截图吧
图三
=800)window.open('http://forum.eviloctal.com/attachment/Mon_0704/10_27818_f4ea49f4825e616.jpg');"src="http://forum.eviloctal.com/attachment/Mon_0704/10_27818_f4ea49f4825e616.jpg"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';"border=0>
上面的截图是ACC版DV的扫描界面，我用红笔画的是可以利用的的地方，看看这两个文件的检测说明，说的挺邪乎的吧，其实他就是正常文件。

  就这样，我们就可以利用站长的大意隐藏我们的webshell，能知道雷克图的大多有点安全意识，因为不玩安全估计也不知道有lake2这位大侠，当站长扫过几遍自己的网站之后，自然就会发现那些正常文件是被误报的，等咱们把马传上去之后他再次查找就会一扫而过的。但是有另外一个问题，有些比较细心的站长，或者记性比较好的站长，可能会记得自己每次扫这个文件的时候一般都出现两个，怎么这次是四个呢？如图一图二所示，肯定会起疑心。所以还有另外一招，就是自己编文件名，反正我估计不会有人BT到每个程序的每个文件的都能了如执掌吧，索性就是自己编一个可以利用的，可以在admin或者风格什么的文件下，这样会比较好。找一个可以利用的文件名，例如：admin_onil，这个就比较不错。呵呵！