(三)寻找Webshell

　　1.通过特征在Google查询Webshell

　　先在Google中输入“Copyright(C)2008 Bin ->WwW.RoOTkIt.NeT.Cn”进行查询，如图5所示，出来两个结果。需要注意的是输入查询的应该是："Copyright(C)2008 Bin ->WwW.RoOTkIt.NeT.Cn"，使用了双引号，是对指定的关键词进行搜索，否则出来将是包含这些关键字的合集的记录。

　　图5 通过Google搜索Webshell的特征关键字

　　2.通过特征在百度中查询Webshell

　　在百度搜索引擎中输入"Copyright(C)2008 Bin ->WwW.RoOTkIt.NeT.Cn"进行查询，效果不太理想，如图6所示，无关于该精确特征的搜索结果。

　　图6 通过百度搜索Webshell的特征关键字

　　3.直接打开第一个Webshell

　　打开第一个Webshell的地址“http://www.xi********.com/ads/20081224160466.aspx”，结果出来为aspxspy的webshell，如图7所示，猜解了一些普通密码，都不是，看来作者修改了默认密码，只好暂时放弃。

　　图7获取台湾某小学校的Webshell

　　说明：

　　既然有小黑入侵了该网站，除非入侵者对系统漏洞进行了修补，否则通过检测一样可以获取该系统的Webshell。就本Webshell有三种方式进行突破，一种就是写一个猜解机，通过反复输入密码值来进行判断，第二种就是直接检测网站，实施渗透;第三种就是尝试通过伪造public string SessionName="ASPXSpy";public string cookiePass="ASPXSpyCookiePass";来突破。