只要知道了asp数据库地址,那么提交一句话木马后,直接访问asp数据库就可运行木马了。

  如果后台没有类似数据库备份功能,可以生成新文件,或者直接修改文件。那么很难直接让木马运行,不过还是有一些方法,可以考虑。

  1、如果后台数据库是以asp格式存储的。那么可以采用在数据库中插入一句话木马(<%execute request("1")%>),然后利用一句话木马上传一个完整木马。

  2、如果网站后台允许修改网站联系信息等页面,而且页面也是也是以asp存储,那么可以利用asp的包含文件,巧妙的令jpg、bmp等格式木马得以运行。比如在其中插入

  

  3、还可以看看网站上传类型是否有严格的过滤,如果仅仅是限制了asp文件,那么可以尝试上传asa、cer等等。

 
目前共有0条评论
  • 暂无Trackback
你目前的身份是游客,评论请输入昵称和电邮!