用图片上传来上传改成JPG后缀的木马,再利用备份数据库来将木马备份成*.asp文件。很经典的挂马方法 。

  知2113道了asp数地址,那么提5261交一句话后4102,直接访问asp数据库就可运1653行木马

  如果后台没有类似数据库备份功能,可以生成新文件,或者直接修改文件。那么很难直接让木马运行,不过还是有一些方法,可以考虑。

  1、如果后台数据库是以asp格式存储的。那么可以采用在数据库中插入一句话木马(<%execute request("1")%>),然后利用一句话木马上传一个完整木马。

  2、如果网站后台允许修改网站联系信息等页面,而且页面也是也是以asp存储,那么可以利用asp的包含文件,巧妙的令jpg、bmp等格式木马得以运行。比如在其中插入

  

  3、还可以看看网站上传类型是否有严格的过滤,如果仅仅是限制了asp文件,那么可以尝试上传asa、cer等等。

 
目前共有0条评论
  • 暂无Trackback
你目前的身份是游客,评论请输入昵称和电邮!