现在市面上流传了N种asp的大马。就是常说的webshell。有什么全免杀版本,什么提权加强版本。但是其中很多shell都是加密的,而且存在一些后门。

  很有可能同学了忙了半天入侵了一个站,是为别人忙活了。童鞋们想用这些shell,就要想办法找出其中的后门,清除掉。而清除后门的第一步,就是先解密他们。

  要学会解密asp木马,首先要了解它常用的加密方式。一般来说,asp木马的加密主要经过两个步骤:①编写自定义函数加密。②用微软的脚本加密工具来加密,这个一般来说是最后一步,经过此步骤处理以后的asp木马不能再进行加密了。我们要解密的话就要先对微软加密的部分进行解密,再对自定义函数加密的部分进行解密。

  对微软加密进行解密,我们可以直接用工具来进行,例如AspDecode就可以,一些网页在线解密也可以,不过容易解密不完全。这里大家要注意下特殊字符的处理。

  然后就是对自定义函数加密部分的解密了。因为不同的shell加密方式不同,常见的诸如十三加密方式,黑客伟移位之类,是有一些解密工具的。我们可以用刀客的工具来解密常规的十三加密方式,但是变异的加密,可能就没有特别好用的解密工具了。当然,大家都说asp无加密,就是说不论你加密函数写的多好,要让asp文件正常执行,就肯定需要在shell中写好解密函数,执行的时候要利用解密函数来还原明文,再执行。这里常见的代码是:

  这里就是典型的十三加密了。而被加密后的字符串就是类似下面这样的:

  这里“ShiSan=”后面双引号里面的内容就是经过十三加密后的密文,这句是把后面的密文赋值给ShiSan变量。

  ExeCuTe(ShiSanFun(ShiSan))

  这句代码的意思,就是执行ShiSan那个字符串变量里面的内容,当然直接执行是不行的,需要在解密,于是先用ShiSanFun来解密,再执行,那么ShiSanFun(ShiSan)就是解密后的内容了。那么我们用response.write ShiSanFun(ShiSan)就可以输出明文了。好,我们在ExeCuTe(ShiSanFun(ShiSan))下面加一行response.write ShiSanFun(ShiSan),然后在asp环境下访问下这个shell,就可以看到明文在shell中显示出来了。

  上面的方法是需要asp环境的,如果我们没有asp环境,可以用这样一个脚本来解密:

  复制代码,保存为vbs格式,然后运行就可以得到明文。这里解密不同的密文,只需替换最后一句代码括号中的密文即可。有人说没法复制密文,其实可以的,我们用dos来执行这个vbs脚本,然后重定向到一个文本文件中即可。

  使用这个命令即可。

  如果要解密的shell中加密方法很多,而且加密的次数也很多,那么我们用vbs脚本来执行效率可能就会很低。这里,我重点推荐一个方法,用vb来解密。我们知道,asp中主要的语言就是Vbscript,我们可以直接把解密函数复制到vb中就可以使用了。代码我贴给大家。

  第一段代码就是我们直接从shell中找到的解密函数代码。我们用的时候,就可以针对不同的加密方法来实时替换不同的解密代码,

  Command1是解密按钮,Command2是复制按钮,Command3是粘贴按钮。大家自己再画个text文本框进去就行了。

  搞定后,我们可以不生成exe文件,用的时候直接在vb中修改不同的解密函数代码,运行就行了。下次修改还很方便。。这样的话,自定义解密就很轻松高效了

  转自:http://bbs.blackbap.org/forum.php?mod=viewthread&tid=1619

 
目前共有0条评论
  • 暂无Trackback
你目前的身份是游客,评论请输入昵称和电邮!