对一个asp木马后门的返测试
本帖最后由 C4r1st 于 2015-1-22 13:00 编辑前几天有个黑阔在我们论坛发了一个帖子
是共享一个免杀asp木马
但是我往往对这种木马很敏感,因为我感觉这种共享的都是带有后门的
而且还对某些会员私信发送。
之前我也日过mumaasp的箱子
这个箱子是我xss带入进去脱下来的。
先看看这个我为什么说他是一个有后门的shell吧。
放大了看
有一跳这个。这是什么呢?点开是这个连接http://7jyewu.cn/m.asp
但是点开是一个404
什么情况,此事必有隐情。
我感觉这是一个假的404页面。然后我就去测试
返回值是200
显然不是404
应该这就是一个接收的口。
接下来就是踩点了。
通常日站的方式有几种呢?
这个先保守一点,大家来说方式吧。
我先看下我是怎么做的吧。
查了一下whois,隐藏了。
在查看一下同服。尼玛啊。
全是站啊,是虚拟主机。
这么多站,你说有动力还是没有动力呢。
反正我是没有动力。。。。
这什么机房,不知道额。
香港 HOSTCREST公司
我能说我没听过吗。
接下来会怎么样,大家先猜一会,明天再发,有事先出去,留给一个思想的空间
---------------------序章2-----------------------
之前停了一下
接下来我继续讲述我是怎么操的。
这个情况,我刚刚也说了,直接主站的成功率不高。
那么我们先看看旁站吧、
一个个站点开看了一下,发现一个站跳转了。
应该是服务商提供的页面。
那么这个域名应该就是服务商的了。
我们去域名返查看看
这TM是逗我。
然后查了一下tixing.idc99-sql.com这个的同服
发现这个域名www.idc99.net
这个域名跳转到了另外一个IDC的页面。
http://www.net222.net/
没猜错的话,应该就是这里注册的。我问问客服吧。
Thx得到了,继续。点开这个idc站继续射。
之前我也不知道这个帐号的邮箱
这个邮箱是我之前点这里面找回密码直接显示的。算是一个鸡肋、
然后很轻松的就进去了。
脱源码。
关键代码
不过真准备挂黑页的时候。
管理自己上来删了,呵呵。
可能是怕我发你的后门?还是?
同时神仙也找出的后门的通杀密码。
这个站的每个木马都有一个通杀密码。(感谢神仙大大)
脱了的源码在胯下,自己下载。
对这些自称没后门的又加入后门骗骗菜鸟的二逼真是厌恶
链接: http://pan.baidu.com/s/1ntmi8Pj 密码: qf8n
总的过程和http://08sec.com/thread-3696-1-1.html差不多 = =万能密码 你这个不是气死某个小黑了吗 坐等更新 鸡鸡威武啊…… 带后门的马最讨厌了:lol 坐等楼主 拖箱子。。。 还好我只喜欢菜刀! 666 菜刀大队路过 感谢大牛分享精彩过程,这种人该格盘
页:
[1]
2