找出安全漏洞 QQ盗号软件后门分析与反击(4)

　　写入q7.txt文件

　　格式为 QQ号码----QQ密码----会员:----IP:

　　继续看下面的代码

set f=Server.CreateObject("scripting.filesystemobject") (没有q7.txt这个文件就自动新建)

set ff=f.opentextfile(server.mappath(".")&"\"&strLogFile,8,true,0)

ff.writeline(StrLogText) (打开q7.txt并写入数据)

　　最后response.write "发送成功!" 满足条件提示成功.

　　所有的代码也就是这些..程序并未做任何过滤..和处理..也就是说..只要满足qq.asp?QQNumber=123&QQPassWord=123 就回返回 "发送成功!"的提示.

　　http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=123图11

　　这就证明了QQNumber=123&QQPassWord=123这两个我们是可以自己定义的..如果我们写入的不是数字..而且一段脚本代码呢?会不会执行呢..让我们来试下
http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=< ... quot;fhod")</script>

　　图12

　　插入代码成功...我们来看下

　　http://www.ciker.org/soft/q7.txt的源文件又是什么样的..

　　图13