转自:http://www.hackseo.net/post/181.html
某位朋友研究的一句话木马加密经验分享给大家:
一句话木马的加密,个人感觉,如果碰上了asp后缀的数据库,而且猜出了数据库的路径,那简直就是管理员的恶梦。因为加密后的一句话木马没有任何asp的标示符!我们只要随便找个可以提交信息的页面,比如说留言板什么的都可以,就可以把一句话木马插到数据库里面。而加密后的一句话木马是不会被过滤的。
加密用的工具是ANSI2Unicode,是lake2写的。
下载地址:lake2一句话加密工具|ANSI2Unicode加密转换工具
这个一句话要精心构造,加密后的一句话不能有"?"。我自己试验了好久,都没有搞定个别的问号。最后在网上看到一篇帖子,终于知道了怎么写这个一句话才不会出现问号。格式是:“<% execute request("a")%>”这是我在网上看到的。但是这句加密后最后会有个">",有被过滤的可能。我就又在最后加了一个"a",也就是“<% execute request("a")%>a”加密后就完全没有asp标示符了,所以肯定不会被过滤掉,基本上是无敌插入了。
注意,这个一句话看似很普通,但是最重要的地方在%后面的那个“空格”和括号里面的那个"a"!如果不这样很有可能加密后会出现“?”。
由于担心加密后的一句话直接在网上贴出来,如果贴的多了,有可能被杀软盯上,(只是担心,我也不知道会不会)所以就只提供加密前的格式,需要的可以下去自己加密。
还有个疑惑,加密后的一句话,只有插入到asp后缀的数据库里面才能够利用,单独的asp文件是不行的。我不知道是为什么。(个人猜测是连接数据库的时候会自动进行解密)希望哪天有高手能帮我解答~
本文源于:逍遥复仇's Blog http://www.hackseo.net/,原文地址:http://www.hackseo.net/post/181.html,支持原创,谢绝山寨!