最近一直在研究Access漏洞结果找出了一个ASP脚本通用木马

虹之菌BUG最近遇到了这样一个头疼的问题——用两种木马“管理”了两个主机。其实我也不想这样的，但是没办法，谁让咱的木马没能做到全免杀呢（其实是我懒得做免杀，直接用现成的了）?然后每次“管理”都要更新两次IP，好麻烦。而且我的空间还是一群哥们一起用，搞得我的网站空间乱糟糟的，到处都是IP.txt，文件覆盖经常发生。

怎么办呢？想到了以前虹之菌BUG提供的木马上线系统，照着弄一个呗。首先，当然是创建一个用来存放更新ip的Access数据库了。打开Microsoft Office Access（不会有人不知道吧），新建一个“Access 2000”数据库，因为有的web空间只支持到2000所以为了通用就选2000的就行了。然后新建一张表，名为IP，添加四个字段，自动增长的id(习惯上要有这个)字段，user字段，pass字段lip字段。除了id字段之外，全是文本型。好了，准备工作完成，下面开始写脚本。

首先，我们需要一个连接数据库的脚本conn．asp。

其次，为安全起见，我们需要_AI md5加密函数，直接从网上DOWN-个md5．asp就ok。

接着，我们就要写更新用的up．asp。我写的版本内容如下。

结合注释，大家应该很容易理解这个脚本的工作过程，需要注意的地方我来说明一下。首先是前两行包含的“头文件”，刚刚准备的两个asp文件就这样包含进来使用就可以了。其次，大家看过很多网站注入的文章，一定知道对数据库查询命令执行之前的敏感字符的过滤是很关键的。曾听说过某盗号木马用的asp收信文件存在漏洞，导致了web空间的沦陷，可见这有多危险。因此本着安全和懒惰的态度，我直接把用户名和密码一起md5了，什么过滤之类的通通不管了。不过在数据库添加东西的时候要注意了，用户名也要用md5存储。为了防止爆破，没有密码正误的提示，只要输入了，都会提示ok。

揭下来就是关键的get．asp了。

代码很简单，注意很关键的那句，用字符串替换函数把format变量里的”ip"串替换成了数据库中保存的ip地址。代码到此结束，下面开始检验劳动成果。

先试试自定义ip更新。因为我是在虚拟机里搭建的本地环境，所以更新的是内网地址，在服务器上的话更新的就是你连接服务器时的地址。我的需求就这么多，就不再继续完善了。有些叉子可能希望有一个在线的注册页面，或者有些木马可能还有一个上线端口问题。