Session欺骗的终极技术电脑资料

Session欺骗的终极技术电脑资料看了第四期LM团伙写的《利用Session欺骗构造最隐蔽的WebShell》，虽然具体技术不是很明白，但是基本意思理解了，不知道大家理解了没假如adminlogin.asp是主站管理员页面，如果成功，就把Session login=yes，并转到adminmanage.asp进行管理当然，adminma nage.asp有Sessionlogin的检测现在我们在自己申请的空间目录iceworld中建立一个文件admin.asp，这个文件的作用是使Sess ionlogin=yes，我们先访问自己的adminasp，然后访问adm inlogin.asp，应该不用再了，而是直接进入adminmanage.asp事实是否可以呢？我们找个空间测试一下以九酷网络提供的空间管理系统V

4.0版为例子来说明吧，本地测试先我们先分析一下主目录是d:\root\9coolhome，管理目录是d:\roo t\9coolhome\manage默认用户目录是d:\root\9coolhome\用户名先看看管理员过程，文件是login.asp，关键代码如下code=replacetrimRequestcode,’,If codeCStrSessionCheckCodeThen Response.Write Response.End endif’上面代码是对验证码进行检测name=htmlencode2request.formname pwd=htmlencode2md5request.formpwd loginip=Request.ServerVariables_X_FORWARDED_FOR ifloginip=then loginip=Request.ServerVariablesREMOTE_ADDR sql=select*from manage_user whereUserName=’name’And PassWord=’pwd’rs.open sql,conn,1,3If notrs.eof=True Thenr...。