发一枚年代久远的 “黑吃黑”网页木马

这是很久以前写的一篇文章，现在搬到这里。

webshell大家应该都知道了，就是传说中的网页木马，我们所讲的web安全漏洞，最终就是表现在黑客（攻击者）能不能拿到网站的webshell或者服务器的shell。

几乎所有的安全从业者都会从接触webshell来了解黑客的世界，我还依稀记得当自己模仿黑客防线某篇文章中介绍的方法，一步一步的拿到了有漏洞站点的webshell，那一夜是有多么的兴奋（请不要想歪了）。至今我还记得 那套CMS叫做老Y文章管理系统

然后就是疯狂的撸站，拿了好多站，我记得好像设置了非常复杂的密码，可是还是不停的丢webshell，有的是被管理员发现，有的是被“黑吃黑”了，但是当时我根本不懂脚本，就是个脚本小子，哪里知道自己的webshell已经被别人吃了。

当时只要是个安全论坛，就会上去注册一个会员，下载了很多非常漂亮的 webshell，可是并不知道其实这些webshell木马中又被绑定了后门。

如果玩过asp木马的兄弟，可能会对寒剑asp木马有印象，冷酷，纯黑的背景，很有hack的感觉。

但是这款木马有“毒”

打开asp网马，可以为自己的webshell设置个密码 ，我这里设置了 587694，可以设置的更加复杂。

跟踪UserPass这个变量

再一次看到userpass这个变量时，和Efun 、u 进行了拼接，Efun又是acode的反转，u是当前被入侵的网站地址。

那么

好吧，密码就被发到这个后门网站了。

分析到这里还没有结束，此网马中还有一种更隐蔽的方式。

急急忙忙在网马中输入这个参数，看一下是否中招。

呵呵，中招了。密码为view168 （我在网络上随便找了一个寒剑webshell）。

就这样，我把别人的网马给“骑”辶 了

好久以前的东西，好多朋友没有研究过，介绍下。

作者|朱小龙