|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
ASP脚本是采用明文(plaintext)方式来编写的。记妥当年asp木马出来的时分号称“永不被杀的木马”,呵呵,时至昔日,任意甚么杀毒软件都能将其杀得屁滚尿流^_^呵呵,遭到木马换壳回避杀毒软件思绪影响,我们也能够给asp木马“加壳”(呵呵,固然不是用UPX等)。还等甚么?请往下看。
实在这个思绪很复杂,就是把asp代码编码,实行时再解码。这里有两个办法,一是用微软的工具ScriptEncoder;二是使用asp的execute函数。
先说说ScriptEncoder。这个东东能够在微软官方网站收费下到,并且还附赠具体利用申明,这里就未几说了吧。可是经由它加密后的文件会有<%@LANGUAGE=VBScript.Encode%>,呵呵,出漏洞了,办理员看到这句话就晓得这个asp文件被加密了。那怎样解密呢?这里供应一个解密软件(》点击进进下载《)。如今晓得了吧,微软的ScriptEncoder不保险,以是呢,我们要本人写一个程序出来“加壳”。
asp的execute函数是拿来实行字符串的,便是说能够把asp语句写成字符串,然后用execute来实行。好比这行代码:execute("response.write(""hackerXfiles"")"),实行后的效果同等于实行response.write("hackerXfiles")。这里因为execute函数里的东东是字符串,故碰到引号要双写。呵呵,既然execute里是字符串,那末我们就能够把内里的东东拿来加密了。
怎样加密呢?呵呵,就用最复杂的移位法好了。请看代码:
but=1
cc=replace(nr,vbcrlf,"胡")
fori=1tolen(cc)
ifmid(cc,i,1)"胡"then
pk=asc(mid(cc,i,1))+but
ifpk>126then
pk=pk-95
elseifpk<32then
pk=pk+95
endif
temp=temp&chr(pk)
else
temp=temp&"胡"
endif
next
temp=replace(temp,"""","""""")
response.write(temp)
这段代码就是asp下的轮回移位法。谁人变量but就是移位的位数,可修正。呵呵,怎样叫轮回呢?由于程序会对照字符的ascii码,当年夜于126大概小于32时就会处置,使局限在32~126之间。由于如许能够制止呈现windows不克不及显现的字符。这也是一入手下手就把回车换行符交换失落的缘故原由。这里我本人写了一个移位加密的asp程序xor.asp附上,但愿对你有匡助。
那就让我们来看看用下面代码把response.write("hackerXfiles")加密后的了局:“sftqpotf/xsjuf)#ibdlfsYgjmft#*”,嘿嘿,这回仙人也看不懂了吧^_^
既然加了密,固然要解密啦,看解密代码:
functionUnEncode(temp)
but=1这个是移位法所移的位数!注重修正此处与加密时利用的分歧
fori=1tolen(temp)
ifmid(temp,i,1)"胡"then
pk=asc(mid(temp,i,1))-but
ifpk>126then
pk=pk-95
elseifpk<32then
pk=pk+95
endif
a=a&chr(pk)
else
a=a&vbcrlf
endif
next
UnEncode=a
endfunction
呵呵,如今晓得怎样实行了吧,只需挪用这个解密函数就是:execute(UnEncode("sftqpotf/xsjuf)#ibdlfsYgjmft#*")),怎样,是否是顺遂实行了!
在这里给人人一个树模,好让人人分明怎样加密asp木马。因为陆地的asp木马代码太多,我人又懒,就拿谁人短小干练的cmd.asp来树模吧!
起首运转我写的谁人xor.asp,然后用记事本翻开cmd.asp,将它的asp代码部分复制到xor.asp的文本框(看图),
填好移位参数(这里我用的1),点“转换”,呵呵,了局就出来了。然后新建一个文本文档,把cmd.asp的内容复制出来,后面谁人UnEncode函数内容也添出来(这里要注重修正UnEncode函数里变量but的值与加密时选的移位参数值分歧),然后把它的asp部分交换成execute(UnEncode(hu))的情势,个中hu用前一步失掉的加密了局赋值。呵呵,然后保留为asp文件就ok啦!这里就再罗嗦几句。假如代码对照长,能够分红几部分加密,然后多用几个execute实行就是,可是要注重必需包管asp代码的完全性,也就是说不克不及把相干联的代码如if、endif分到两个execute里往了。
看看吧,一样能够运转!
8期的光盘里有个思易ASP木马追捕器,呵呵,恰好随手拿来检测我们明天的功效。嘿嘿,看了局,它对cmd.asp原版本和用ScriptEncoder加过密的陆地顶端网的2005版能够检测到,而对我们方才经心炮制的xcmd.asp却甚么都检测不到!呵呵
</p>强大的可扩展性。ASP具有强大的扩展性,可以实现与多种网络、硬件设备的连接:通过专用的通讯线路远程接入企业;通过远程拨号服务器为远程拨号客户提供服务;通过WAP为移动电话互联网客户服务。 |
|