【IT168 专稿】笔者一直都在强调一个东西，在网络攻防中最重要的就是思维。本文的灵感来自于安天365团队的一个篇稿件，在稿件中提到了一个AspxSpy的Asp.net类型后门软件，在安全界中最近一直流行后门中的后门，即通过给出一个包含后门的Webshell程序，众多小黑们在外面吭哧吭哧的干活，而给出后门的老板，却在后面偷着数Webshell，这种后门中的后门一般来说有二种类型，一种就是直接挂马，带来直接的收益；另外一种就是将小黑攻克下的Webshell地址、用户名和密码全部给发回，换种说法就是，小黑控制的服务器，也就是我的服务器。本文也就是受这个启发而展开研究的，通过研究发现，利用该方法还可以获得不少的后门，有的还可以直接控制服务器。

　　(一)初识AspxSpy

　　AspxSpy出来已经有很长时间，该程序作者是2008-02-02发布的，呵呵，很早就见过该程序，但一直没有时间去用它。

　　1.AspxSpy简介

　　AspxSpy 是网友Bin写的一款后门工具软件，可以到http://www.ixpub.net/thread-898531-1-1.html下载其源代码，对于工具软件我一般都喜欢到原作者哪里去下载，这样要相对安全一些，避免经过二道贩子之手，增加不安全因素。其主要特色和功能如下：

　　(1)开发环境VS2005 + C#，兼容FrameWork1.1/2.0，基本实现代码分离；

　　(2)密码为32位MD5加密(小写) 默认为 admin；

　　(3)采用POST方式提交数据，增强了隐蔽性；

　　(4)添加了IIS探测功能，遍历IIS站点信息；

　　(5)增强了对文件属性的修改；

　　(6)在SQLTools中增加了，SA权限执行系统命令功能，SQL_DIR 功能，可以直接备份log/database，到指定目录文件名为bin.asp Shell 为

　　(7)增加了 Serv-u 提权功能;

　　(8)可以对端口实现单线程扫描;

　　(9)可以对注册表进行简单的读取。

　　2.下载该源代码

　　从作者网站将该源代码文件aspxspy.rar下载到本地后，首先使用杀毒软件avast!查杀一下压缩包，一切正常，看来该代码还没有广泛流传，至少杀毒软件还未将其列入黑名单。

　　(二)分析源代码

　　1.查看源代码

　　源代码文件aspxspy.rar中就一个文件aspxspy.aspx，非常简介，直接使用UltraEdit打开该源代码文件，如图1所示，代码是用asp.net写的，在第12行中是该后门程序的管理密码的32位md5加密值“21232f297a57a5a743894a0e4a801fc3”。

　　图1 查看aspxspy.aspx程序源代码

　　说明：

　　一般通过UltraEdit等文本编辑器来查看Webshell等程序的源代码。