WEB开发网
开发学院WEB开发ASP 利用ASP木马程序获取管理权限 阅读

利用ASP木马程序获取管理权限

 2006-04-07 11:57:11 来源:WEB开发网   
核心提示: 动力文章系统3.51,(图一)图一 其实动力文章系统的所有版本全部通杀,利用ASP木马程序获取管理权限(2),包括动易,大家可以自己实践一下,呵呵,这样管理员也很难查得出来啊,我们先来看一下它的验证内容,动力文章3.51的验证页面在Admin_ChkLogin.asp

动力文章系统3.51,(图一)

图一    其实动力文章系统的所有版本全部通杀,包括动易。大家可以自己实践一下。

我们先来看一下它的验证内容。动力文章3.51的验证页面在Admin_ChkLogin.asp,其验证内容如下:

  ............
  else
   rs("LastLoginIP")=Request.ServerVariables("REMOTE_ADDR")
   rs("LastLoginTime")=now()
   rs("LoginTimes")=rs("LoginTimes")+1
   rs.update
   session.Timeout=SessionTimeout
   session("AdminName")=rs("username")
   rs.close
   set rs=nothing
   call CloseConn()
   Response.Redirect "Admin_Index.asp"
  前面省略号是用户名密码不正确的验证,直到else,看一下,如果用户名密码正确就给你两个session值:

session.Timeout=SessionTimeout

session("AdminName")=rs("username")

我们在看一下其他管理页面是怎么验证session的,admin_index.asp一开始就这样:

看起来似乎很严密,但是我们看一下,它这里值验证一个AdminName的session,只要我们的session内容是AdminName的话不就可以通过了?好,我们开工,先去弄到它的管理员账号再说,这个不要我教你了吧?到他网站逛一下或者直接一点下载它的数据库来看都可以知道。我们找个页面来改一下,我找一个比较没人而内容较多的页面FriendSite.asp(友情链接页面)来改,呵呵,这样管理员也很难查得出来啊。用asp木马的编辑功能来编辑一下它的内容。在他页面下隐蔽处加上下面几句话:

Tags:利用 ASP 木马

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接