精华内容
参与话题
问答
  • 我想通过这个图片你已经看到了这个木马的强大之处了,服务器上的所有资源一览无余,各种操作,各种骚……你懂得! aspxspy.aspx文件下载...关于ASP.NET木马ASPXSPY的初步处理研究 作者:etzrp 文章连接:http://

    我想通过这个图片你已经看到了这个木马的强大之处了,服务器上的所有资源一览无余,各种操作,各种骚……你懂得!

    aspxspy.aspx文件下载地址【仅供学习,不得用于破坏,后果自负】:http://download.csdn.net/download/cplvfx/10229067

    关于ASP.NET木马ASPXSPY的初步处理研究

    作者:etzrp
    文章连接:http://blog.csdn.net/etzrp/article/details/6737132
    -------------------------------------------------------------------
    前段时间服务器中了木马了,经过排查,截获了ASPXSPY木马。该木马是用ASP.NET写的,为了知己知彼,就将木马拷到本地运行研究,发现功能真的很强大,自认为服务器设置有一定经验的我在默认情况下对此木马都大门敞开。
    我的基本设置:每个Web设置有专门用户,而每个用户都只是Guest组帐号,仅对Web目录具有访问权。应用程序池全部都是Network service帐号运行。结果发现给木马所有功能都能正常运行。如下图所示。

    文件(夹)管理,默认木马所在网站目录,如果你的其他站点设置了users权限,那么恭喜你中奖了。它几乎能够自由操作你的整个服务器硬盘。
    cmd命令:执行各种命令,能够干些什么全看操作木马的人功底了。一般来说cmd.exe默认设置了users权限就可以运行。
    IIS探测:可以将所有的IIS站点列出来,最恐怖的是可以将IIS用户密码列出来,这点上真的很怀疑.net的安全体系。
    系统进程:不仅能够获得系统运行的进程,还能够结束进程。
    系统服务:显示系统所有服务
    用户组信息:查看用户信息
    系统信息:显示系统的基本信息,能够通过搜索注册表显示远程桌面端口,能够获得驱动信息和网卡信息。
    文件搜索:搜索指定后缀的文件并且替换,挂马主要使用此功能
    Server-U提权:Server-U存在较大漏洞,非必要不要安装。
    注册表查询:功能几乎和regedit一样。
    端口扫描:扫描指定端口,得到端口的开关状态
    数据库管理:能够看到网站的文件,自然就能读取web.config,自然能够获得数据库密码,如果你是用的Sa,那将进一步中奖。
    端口映射:这个功能似懂非懂,不知于局域网路由器端口映射是不是一个道理,没试成功。

    看到这些功能,我相信为数不少的服务器在被上传了该木马后都得防线崩溃。那么亡羊补牢,应该怎么处理呢?
    防止文件(夹)管理功能/文件搜索:禁止所有不该具有运行脚本的目录,比如Images/js/css,还有各种上传目录。另外将每个站点设置一个用户,应用程序的标识也设置为这个用户,将用户去除所有用户组,只保留IIS_WPG组。该用户仅能访问web目录。但是要给这个用户Modify及以下权限,不然会报app_domain创建失败的错误。这个能尽量防止木马传入,如果已经传入,也将损失降低到最小。
    防止cmd命令:将cmd.exe的权限只保留Adminstrators和System.
    防止IIS探测:将"%SystemRoot%/system32/activeds.dll/"%SystemRoot%/system32/activeds.tlb文件只保留Aministrators和System权限(详见参考1)。这是也能够找到的几篇文章中唯一关于处理该木马的方法,不过我看有的人指出这样设置重启后可能导致网站无法打开,系统无法远程连接,我是托管服务器,不敢试,所以请慎重设置。
    防止查看系统进程:有文章指出通过禁用性能计数器可以达到此目的.(详见参考2)。
    用户(组)信息:注意C盘的权限设置,(详见参考3 windows2003如何设置C盘权限)
    系统信息/注册表查询:基本信息无法避免.net本来就可以获取,但是唯一注意C盘权限,不允许读取注册表就行。
    数据库管理:数据库用户最好只针对当前应用,也就是一个应用一个帐号。

    aspxspy作为一个木马来无疑是危害巨大的,最主要是保护好该木马上传的路径,这才是根本。另外一个角度说,aspxspy作为一个asp.net程序是一个很好的学习典范,实现了很多较难的功能,对于研究asp.net安全等很重要,现在就初步研究到这里,以后有时间慢慢读代码进一步研究。




    如何防止ASP.NET木马ASPXSPY的正常执行

    作者:gelivable007

    文章连接:http://blog.csdn.net/gelivable007/article/details/7048674

    -------------------------------------------------------------------

    这几天一个朋友的服务器中了木马了,经过排查,获取了ASPXSPY木马。该木马是用ASP.NET写的,为了知己知彼,就将木马拷到本地运行研究,发现功能真的很强大。我的基本设置:每个Web设置有专门用户,而每个用户都只是Guest组帐号,仅对Web目录具有访问权。应用程序池全部都是Network service帐号运行。结果发现给木马所有功能都能正常运行。
    该木马具有如下功能:
    文件(夹)管理,默认木马所在网站目录,如果你的其他站点设置了users权限,那么恭喜你中奖了。它几乎能够自由操作你的整个服务器硬盘。
    cmd命令:执行各种命令,能够干些什么全看操作木马的人功底了。一般来说cmd.exe默认设置了users权限就可以运行。
    IIS探测:可以将所有的IIS站点列出来,最恐怖的是可以将IIS用户密码列出来,这点上真的很怀疑.net的安全体系。
    系统进程:不仅能够获得系统运行的进程,还能够结束进程。
    系统服务:显示系统所有服务
    用户组信息:查看用户信息
    系统信息:显示系统的基本信息,能够通过搜索注册表显示远程桌面端口,能够获得驱动信息和网卡信息。
    文件搜索:搜索指定后缀的文件并且替换,挂马主要使用此功能
    Server-U提权:Server-U存在较大漏洞,非必要不要安装。
    注册表查询:功能几乎和regedit一样。
    端口扫描:扫描指定端口,得到端口的开关状态
    数据库管理:能够看到网站的文件,自然就能读取web.config,自然能够获得数据库密码,如果你是用的Sa,那将进一步中奖。
    端口映射:这个功能似懂非懂,不知于局域网路由器端口映射是不是一个道理,没试成功。
    看到这些功能,我相信为数不少的服务器在被上传了该木马后都得防线崩溃。那么亡羊补牢,应该怎么处理呢?
    防止文件(夹)管理功能/文件搜索:禁止所有不该具有运行脚本的目录,比如Images/js/css,还有各种上传目录。另外将每个站点设置一个用户,应用程序的标识也设置为这个用户,将用户去除所有用户组,只保留IIS_WPG组。该用户仅能访问web目录。但是要给这个用户Modify及以下权限,不然会报app_domain创建失败的错误。这个能尽量防止木马传入,如果已经传入,也将损失降低到最小。
    防止cmd命令:将cmd.exe的权限只保留Adminstrators和System.
    防止IIS探测:将”%SystemRoot%/system32/activeds.dll/”%SystemRoot%/system32/activeds.tlb文件只保留Aministrators和System权限(详见参考1)。这是也能够找到的几篇文章中唯一关于处理该木马的方法,不过我看有的人指出这样设置重启后可能导致网站无法打开,系统无法远程连接,我是托管服务器,不敢试,所以请慎重设置。
    “%SystemRoot%/ServicePackFiles/i386/activeds.dll
    “%SystemRoot%/system32/activeds.dll
    “%SystemRoot%/system32/activeds.tlb
    防止查看系统进程:有文章指出通过禁用性能计数器可以达到此目的.(详见参考2)。
    用户(组)信息:注意C盘的权限设置,(详见参考3 windows2003如何设置C盘权限)
    系统信息/注册表查询:基本信息无法避免.net本来就可以获取,但是唯一注意C盘权限,不允许读取注册表就行。
    数据库管理:数据库用户最好只针对当前应用,也就是一个应用一个帐号。
    aspxspy作为一个木马来无疑是危害巨大的,最主要是保护好该木马上传的路径,这才是根本。另外一个角度说,aspxspy作为一个asp.net程序是一个很好的学习典范,实现了很多较难的功能,对于研究asp.net安全等很重要,想查看你的服务器是否安全,就把这个木马上传到服务器测试一下,由于这个木马网上很多,随便搜索一下就能下下,这里就不提供下载地址了。
    另外几个安全的知识也写到这里,以后遇到的时候好参考:

    1.windows2003如何设置C盘权限

    建批处理文档,运行一下代码:

    echo Y|cacls c:\ /c /g administrators:f system:f
    echo Y|cacls d:\ /c /g administrators:f system:f
    echo Y|cacls e:\ /c /g administrators:f system:f
    echo Y|cacls f:\ /c /g administrators:f system:f
    echo Y|cacls ‘C:\wmpub’ /c /t /g administrators:f system:f
    echo Y|cacls ‘C:\Documents and Settings’ /c /g administrators:f system:f
    echo Y|cacls ‘C:\Documents and Settings\All Users’ /c /g administrators:f system:f
    echo Y|cacls ‘C:\Program Files’ /c /g administrators:f system:f
    echo Y|cacls ‘C:\Windows\System32\cacls.exe’ /c /g administrators:f system:f
    echo Y|cacls ‘C:\Windows\System32\net.exe’ /c /g administrators:f system:f
    echo Y|cacls ‘C:\Windows\System32\net1.exe’ /c /g administrators:f system:f
    echo Y|cacls ‘%SystemRoot%\system32\cmd.exe’ /c /g administrators:f system:f
    echo Y|cacls ‘C:\Windows\System32\tftp.exe’ /c /g administrators:f system:f
    echo Y|cacls ‘C:\Windows\System32\netstat.exe’ /c /g administrators:f system:f
    echo Y|cacls ‘C:\Windows\System32\regedt32.exe’ /c /g administrators:f system:f
    echo Y|cacls ‘C:\Windows\System32\at.exe’ /c /g administrators:f system:f
    echo Y|cacls ‘C:\Windows\System32\shell32.dll’ /c /g administrators:f system:f
    echo Y|cacls ‘C:\Windows\System32\format.com’ /c /g administrators:f system:f
    echo Y|cacls ‘C:\Windows\System32\wshom.ocx’ /c /g administrators:f system:f
    echo Y|cacls ‘c:\windows\system32\shell32.dll’ /c /g administrators:f system:f
    echo Y|cacls ‘C:\WINDOWS\System32\activeds.tlb’ /c /g administrators:f system:f
    RD C:\Inetpub /S /Q

    2.asp程序最近碰到一个上传图片,但如果上传图片的文件夹给了IIS可执行脚本的权限,那么他上传.jpg的图片也一样能够执行ASP木马。

    上传的格式为:xxx.asp;_200.jpg
    注意他是用.jpg的格式上传,但中间有.asp,这样也能执行脚本,应该也是IIS的BUG

    解决方法
    一、能上传的目录给IIS不允许执行脚本的权限。
    二、利用其它带文件防护功能的软件防止*.asp;*.jpg写入文件。
    三、所有目录允许读取,只要是写入的文件夹在IIS里请将脚本改为无。如果没有服务器的朋友,那被传马那也没办法了,除非你可以协调空间商帮你做这些操作。

    文章来源 http://www.errorgo.com/aspnet-aspxspy.html



    展开全文
  • 网站中了aspxSpy,还好没有搞什么损坏。。唉。。 转载一个防范的方法。以供后用。。刚照些方法试了。。还真行。。服务器也设置了。 如果你的服务器支持.NET那就要注意了,aspxspy的网页有个功能叫:IIS Spy,...

    网站中了aspxSpy,还好没有搞什么损坏。。唉。。

     

    转载一个防范的方法。以供后用。。刚照些方法试了。。还真行。。服务器也设置了。

     

    如果你的服务器支持.NET那就要注意了,aspxspy的网页有个功能叫:IIS Spy,点击以后可以看到所有站点所在的物理路径。一般设置单用户权限即可屏蔽,但是有时不管事。

    一种方法:
    我们也可以做如下简单设置:
    %SystemRoot%/ServicePackFiles/i386/activeds.dll
    %SystemRoot%/system32/activeds.dll
    %SystemRoot%/system32/activeds.tlb
    搜索这两个文件,把USER组和POWERS组去掉,只保留administrators和system权限..如果还有其它组请全部去掉..这样就能防止这种木马列出所有站点的物理路径..。

     另一个解决办法 :

    禁止C:\WINDOWS\system32\inetsrv目录下的adsiis.dll的user权限可以禁止遍历IIS
    但是列出服务器详细信息和所有进程没办法解决~~~~~~~~~~!
    ———-
    我没弄懂这个文件的原理,但是这个文件确实是木马中非常强大的一个。我的服务器是plesk面板自动创建的空间,权限设置是默认的,相对来说还算安全的,没真正遭遇到aspxspy2,但是有朋友传上去竟然发现可以修改任意站点,如果真有人恶意传上去的话,那也麻烦了。

    转载地址:http://fugui.in/861.aspx

    转载于:https://www.cnblogs.com/tomi/archive/2010/11/16/1878553.html

    展开全文
  • 处于安全考虑,对服务器安全进行设置。上传aspxspy测试
  • aspxspy.aspx又名专版aspx汗血宝马文章地址:http://blog.csdn.net/cplvfx/article/details/79192183
  • webshell,无多余代码,无修改版,传说中江湖上已经绝迹的版本。最初的 ,也是最美好的,就像。
  • AspxSpy2014 Final

    2014-01-30 17:48:00
    受bin牛委托修改并发布,版权归bin牛所有。 ... 祝各位马年大吉,财源滚滚。 免责声明: ...本程序只用于管理员安全检测,使用前请注意环境与法律法规,因使用不当造成的后果本人不承担任何责任。...

    受bin牛委托修改并发布,版权归bin牛所有。
    Bug/建议提交:zcgonvh@rootkit.net.cn
    祝各位马年大吉,财源滚滚。

    免责声明:
    本程序只用于管理员安全检测,使用前请注意环境与法律法规,因使用不当造成的后果本人不承担任何责任。
    已测试的系统:
    win2003+iis6+.net 2.0
    win2008+iis7+.net 4.0
    win8+iis8+.net 4.5
    注意:此版本最低需要.net 2.0环境,不再支持.net 1.1。如果目标机器是.net 1.1,请换用AspxSpy2010。
          由于js问题,建议使用ie8+/ff等浏览器访问,win2003自带的ie6在多个功能页面会显示白板。

    此版本为开发版本,未进行任何加密,同时不具备免杀功能。如果没有特殊情况,AspxSpy将不再更新(可能更新插件)。如果有需要的话可以自行进行二次开发,但请保留版权。
    附件中所有c#源码均可用以下命令编译,添加/t:library 表示生成dll:

    [Bash shell]
    set path=%path%;C:\Windows\Microsoft.NET\Framework\v2.0.50727
    csc [/t:library] xxxx.cs

    新增功能:
    1.显示应用程序域信任等级与当前用户

    顶部 Host Trust Level后面的值为Asp.Net信任等级(AspNetHostingPermissionLevel),如果为Full则为完全信任(即非安全模式),否则为非完全信任(安全模式)。
    注意:如果管理员修改了web.config或其他配置文件中的权限设置(例如将High-Trust的配置文件中删除了SocketPermission等),则不保证信任等级代表的权限正确。此可能性极低,在大多数情况下可忽略。
    IsFull-Trust后面的值表示当前代码是否为Full-Trust,如果为True则为完全信任,此项一定准确。
    当信任等级低于Low-Trust(即Minimal-Trust)时,AspxSpy将拒绝运行(在此信任等级下无法访问ServerVarible,不能调用任何与文件相关的方法包括Server.MapPath,除非用来分布式跑MD5否则基本是个废物)。
    顶部User后面为用户名,此举为防止在非Full-Trust下部分SysInfo功能不可用导致无法获取用户名。此项在Low-Trust下不可用,显示为Unknown -- No permission。

    关于asp.net每个信任等级与其默认权限,参考:
    trust 元素(ASP.NET 设置架构):http://msdn.microsoft.com/zh-cn/library/tkscy493%28v=vs.85%29.aspx
    Asp.Net各个信任等级默认权限:http://msdn.microsoft.com/zh-cn/library/87x8e4d1%28v=vs.85%29.aspx

    2.WMI查询功能

    用于查询本机或远程主机WMI信息,利用得当可以获取不少信息。

    Computer留空则为本机,Username与Password两项均不使用
    Computer非空则为远程主机,如果Username中不含反斜杠(\),则使用当前主机所在域,如果Username中包含反斜杠,则会将域设置为指定的域。如果需要使用远程域成员主机的本地账户认证,则可将域名指定为IP或计算机名。
    Namespace为WMI命名空间,默认为root\CIMV2,QueryString为需要使用的WQL查询语句。

    更多关于WMI的知识,参考:
    WMICodeCreater,查询命名空间、类、属性与方法,以及生成代码: http://www.microsoft.com/en-us/download/confirmation.aspx?id=8572 (注:百度一下有汉化版)
    WMI Administrative Tools,比WMICodeCreater更详细的WMI工具:http://www.microsoft.com/en-us/download/confirmation.aspx?id=24045
    WQL,WMI查询语句:http://msdn.microsoft.com/en-us/library/aa394606%28v=vs.85%29.aspx
    WMI Reference:http://msdn.microsoft.com/en-us/library/aa394572%28v=vs.85%29.aspx

    未添加WMI方法执行功能,原因是方法参数与返回值太过复杂,事件及新建WMI实例同理。如有需要请自行根据WMICodeCreater生成脚本/编写插件。

    3.ADS浏览与查询功能

    用于查询ADS,对于域环境下有一定帮助(dsquery、dsget工具),也可用于查询本机信息。

    Current Path为ADS路径,UserName与PassWord为认证信息,留空则使用默认凭据。
    Filter为ADS筛选器,如果指定此项,则执行对Current Path下所有项及子项的搜索,并返回搜索结果的路径。此方法可能会产生大量数据,请构造合理的语句并慎重使用。
    Type为System.DirectoryServices.AuthenticationTypes枚举的值,对应C++ ADSOpenObject第四个参数。点击文本框有下拉菜单方便输入,默认为1,此项一般无需更改。
    值显示为System.__ComObject的项表示为IADsLargeInteger、IADsDNWithBinary、 IADsDNWithString、IADsSecurityDescriptor其中某种类型的实例,由于将其转换为可读方式需要大量Interop代 码,所以不做提供。如确有特殊需要,参考附件提供的ADSComObject.cs自行编写脚本/插件。
    内置数个常用路径(WinNT、LocalMachine、LocalShare、WorkGroup、CurrentDomain、IIS、W3SVC、LDAP、LDAPRootDSE),方便浏览。
    由于基本不可能拥有ADS的修改权限,所有不提供修改功能,如有需要参考msdn自行编写脚本。

    更多关于ADS的知识,参考:
    ADS COM对象与.net对象映射:http://msdn.microsoft.com/zh-cn/library/ms180868%28v=vs.110%29
    DirectoryEntry:http://msdn.microsoft.com/zh-cn/library/System.DirectoryServices.DirectoryEntry
    ADS Reference:http://msdn.microsoft.com/en-us/library/windows/desktop/aa772218%28v=vs.85%29.aspx
    ADS筛选器语法:http://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx
    ADS提供程序:http://msdn.microsoft.com/en-us/library/windows/desktop/aa772235(v=vs.85).aspx
    IIS ADS提供程序:http://msdn.microsoft.com/en-us/library/ms524997(v=vs.90).aspx
    ADExplorer,LDAP ADS浏览器:http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx
    Metabase Explorer,IIS ADS浏览器:http://support.microsoft.com/kb/840671/zh-cn#8
    注:在使用Metabase Explorer查看IIS ADS时,最为重要的一项是AdminACL属性,这个属性以windows acl的方式规定了ADS访问权限,可以很直观的看出哪些属性可以被web应用程序所访问。

    4.插件加载功能

    由于已经包含绝大部分常用功能,如无特殊情况ASPXSpy将不再更新,为了后续拓展性现提供插件加载功能。ASPXSpy的插件需要为一个合法的.net程序集,在上传后进行加载并反射调用插件方法。

    TypeName为包含插件方法的完全限定类名,MethodName为方法名,Params为传递的参数,每行一个,空行将被忽略,所有的参数将储存至字符串数组并由反射调用时传递。
    如果选中Deflate-Compressed选项,则需将插件进行Deflate压缩后上传,此举为防止由于上传PE文件导致触发IDS。
    详细的插件开发信息参考 附录:插件开发指南。

    修改:
    1.修正大部分功能的异常处理,使之不会出现未处理异常(主要是非Full-Trust下产生的安全性异常)导致的红页。

    2.去除了早期使用的VB.Net函数,以取消Microsoft.VisualBasic.dll的依赖以及防止在某些情况下编译出错。

    3.File Manager
    修正盘符列举方式,使其在High-Trust下可用。
    修改文件下载方式,使其在下载大文件时不会因应用程序池回收而崩溃。

    4.PortScan
    在Medium-Trust及更低信任等级下会显示安全性异常,而不是所有端口均关闭的信息。

    5.PortMap
    在Medium-Trust及更低信任等级下会显示安全性异常,而不是连接已建立的信息。
    增强PortMap的表现形式,现在可以点击List按钮来查看并管理所有开启的连接(由于数据放在Session中,所以服务器必须开启Session,同时不保证在Session Mode为非Inproc模式下能正常工作)。
    去掉了无用的Refresh按钮,修改了ClearAll对应的方法使之能正确的清除所有连接。

    6.DataBase
    MSSQL数据库连接方式修改为SqlConnection,使其在High-Trust/Medium-Trust环境下可用。

    7.Serv-U Exp
    因过时而删除,将以插件形式供特殊情况下使用。

    8.禁用部分控件的ViewState,使得不会由于某些操作在ViewState中保存大量无用信息导致的访问缓慢。

    9.重构大部分代码以优化

    下载地址:https://forum.90sec.org/forum.php?mod=viewthread&tid=7220

    转载于:https://www.cnblogs.com/hookjoy/p/3536601.html

    展开全文
  • aspx木马(免杀过360)黑客专用

    热门讨论 2011-11-02 09:30:24
    aspx木马(免杀过360) 2011-11-20测试过 360 过天网防火墙
  • 功能强大的ASPX木马,拿WEBSHELL的好工具
  • 强悍的aspx木马文件

    热门讨论 2012-04-11 09:25:32
    是一个能遍历网站所在目录,编辑文件,下载文件,最大权限, 获取系统信息,同一服务器其他站点信息,修改成系统文件,等等
  • 下载地址: http://www.ihteam.net/tools/shells/root_asp.rar 最后改成.aspx格式就行。 本文转自gaodi2002 51CTO博客,原文链接:http://blog.51cto.com/gaodi2002/1618187 ...

    610f3cfa95136203a8d31194.jpg


    606bf719f581f267dab4bd96.jpg


    b50203d740b953c0a144df97.jpg

    下载地址:  http://www.ihteam.net/tools/shells/root_asp.rar

    最后改成.aspx格式就行。


    本文转自gaodi2002 51CTO博客,原文链接:http://blog.51cto.com/gaodi2002/1618187


    展开全文
  • aspxspy木马是一个.NET程序制作,如果你的服务器支持.NET那就要注意了,进入木马有个功能叫:IIS Spy,点击以后可以看到所有站点所在的物理路径。以前有很多人提出过,但一直没有人给解决的答案。。 防御方法...
  • aspxspy查看服务器安全性查看服务器安全性
  • ASPXspy2.aspx

    热门讨论 2011-08-23 14:31:03
    ASPXspy2.aspx文件,可用于测试主机的ASP.net安全设置。进入密码:admin,该文件测试可用。
  • 防止读取注册表、运行命令、查看服务、查看进程: 打开:C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\config\web.config 找到 改为 然后打开C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\config\web_...
  • ASPXspy 2.0

    2010-02-11 21:35:00
    1.开发环境VS2008 + C#,兼容FrameWork1.1/2.0,基本实现代码分离,CSS方便参考了phpspy。 2.密码为32位MD5加密(小写) 默认为 admin. 3.全部采用POST方式提交数据,增强了隐蔽性。 4.增强了IIS探测功能,遍历... 5.... 6....
  • ASPX一句话木马详细分析

    千次阅读 2018-12-28 09:29:15
    首先回顾一下以前ASP一句话的经典木马吧! <%if request("nonamed")<>"" then execute request("nonamed")%> VBS中execute就是动态运行指定的代码而...
  • aspx 端口转发,代码提取自 aspxspy

    千次阅读 2015-12-25 09:22:13
    今天遇到一个问题,使用aspxspy 只要访问超过两次请求,就无法访问了,提示页面找不到,使用菜刀查看,发现shell 还在上面没有被删,很是悲剧。不知道这个是什么神器在起作用。还请各位高手、神人指点,谢谢了。 ...
  • 关于ASP.NET木马ASPXSPY的初步处理研究

    千次阅读 热门讨论 2011-08-31 22:02:07
    前段时间服务器中了木马了,经过排查,截获了ASPXSPY木马。该木马是用ASP.NET写的,为了知己知彼,就将木马拷到本地运行研究,发现功能真的很强大,自认为服务器设置有一定经验的我在默认情况下对此木马都大门敞开。...
  • aspx一句话木马,可过过安全狗、请速度下载
  • Aspx一句话木马使用

    千次阅读 2007-01-15 13:31:00
    Aspx一句话木马使用1.相当于ASP的一句话木马:程序代码alter database pubs set RECOVERY FULL--create table pubs.dbo.cmd(a image)backup log pubs to disk = c:/TM with initinsert into pubs.dbo.cmd(a) values ...
  • <%@PageLanguage="C#"Debug="true"Trace="false"%> <%@ImportNamespace="System.Diagnostics"%> <scriptLanguage="c#"runat="server"> protectedvoidFbhN(objectsender,E...
  • 1. 相当于 ASP 一句话木马 : 顺序代码 alter databas pub set RECOVERY FULL-- creat tabl pubs.dbo.cmd a imag backup log pub to disk = 'c:/TM' with init fals ;ow.Writ Request.Params["l"] ;...
  • 昨天的随笔,转载了一个恐怖的木马aspxspy简单的防范方法 .. 按照上面的解决办法。 一种方法:我们也可以做如下简单设置:%SystemRoot%/ServicePackFiles/i386/activeds.dll%SystemRoot%/system32/activeds.dll%...
  • hi,我是凉风,(以下内容纯属个人见解,如有不同的意见欢迎回复指出) ,本菜比发现aspx过狗的姿势不常见,不像php一样一抓一大把,于是我决定研究一下aspx 本文作者:i春秋签约作家——凉风   引用i春秋作家团...
  • 先回顾一下以前ASP一句话的经典木马吧!"" then execute request("nonamed")%>VBS中execute就是动态运行指定的代码而JSCRIPT中也同样有eval函数可以实现,也就是说ASP一句话木马也有个版本是采用JSCRIPT的 eval的!...
  • ASP.NET安全设置防御ASPXSpy

    千次阅读 2012-08-26 20:47:04
    终极防御(CmdShell、IIS Spy、Process、Services、UserInfo、SysInfo、RegShell) 可能影响个别网站正常运行,请测试网站无问题再正式使用这方法。 网站ASP.NET version切换成2.0.50727 C:\WINDOWS\Microsoft...
  • 各大Asp木马的万能密码

    千次阅读 2012-03-19 21:20:31
    各大Asp木马的万能密码 首先十三webshell9.0VIP版和漫步云端修改版...x=x或?web=admin  ...朽木奥运版最新ASP木马(黑色版本),朽木奥运版最新ASP木马(绿色版本)  黑客动画吧奥运版最新ASP木马(黑色版本),黑客动画
  • 一句话木马的适用环境: 1.服务器的来宾账户有写入权限 2.已知数据库地址且数据库格式为asa或asp 3.在数据库格式不为asp或asa的情况下,如果能将一句话插入到asp文件中也可 一句话木马的工作原理: "一句...
  • 精品收集整理各种websheel,没有后门,没有重复,是站长管理网站,清除木马的好助手

空空如也

1 2 3 4 5 ... 20
收藏数 4,549
精华内容 1,819
关键字:

aspxspy