網站後門文件(Webshell)分析筆記
https://segmentfault.com/a/1190000020699865
轉換字元編碼:比如將正常的字母和符號轉換為ASCII碼,傳入函數JiaMi;
分割字串:傳入函數JiaMi的字串不僅被轉換為ASCII碼,而且各字元之間都用英文點號分隔開來;Server.MapPath("/g"&"lo"&"ba"&"l.a"&"sa")這條語句也是同理,將敏感的檔案名global.asa進行拆分後再手動拼接;
改變字串順序:傳入函數JMONE的字串就是逆序排列的,在函數中再逆序拼接一遍,轉換為正序排列之後,就可以執行了;
改變字串編碼值:在DeAsc函數中,就是將字元的ASCII碼值減去數位18之後,再用Chr函數轉換成正常的字元。
Execute函數:雖然上面的代碼嘗試了各種方式將關鍵資訊進行混淆,但最關鍵的一點是它無法改變的,就是它必須調用VB的Execute函數來執行代碼。
#VB, Script, Execute, 編碼, 網站, 後門
https://segmentfault.com/a/1190000020699865
轉換字元編碼:比如將正常的字母和符號轉換為ASCII碼,傳入函數JiaMi;
分割字串:傳入函數JiaMi的字串不僅被轉換為ASCII碼,而且各字元之間都用英文點號分隔開來;Server.MapPath("/g"&"lo"&"ba"&"l.a"&"sa")這條語句也是同理,將敏感的檔案名global.asa進行拆分後再手動拼接;
改變字串順序:傳入函數JMONE的字串就是逆序排列的,在函數中再逆序拼接一遍,轉換為正序排列之後,就可以執行了;
改變字串編碼值:在DeAsc函數中,就是將字元的ASCII碼值減去數位18之後,再用Chr函數轉換成正常的字元。
Execute函數:雖然上面的代碼嘗試了各種方式將關鍵資訊進行混淆,但最關鍵的一點是它無法改變的,就是它必須調用VB的Execute函數來執行代碼。
#VB, Script, Execute, 編碼, 網站, 後門
留言
張貼留言