鬼仔's Blog

来自：lake2的专栏
本文已发表于《黑客防线》2005年12期，转载请注明！
大家好，不知道各位有没有用过偶的WebAdmin 2.X？嗯，对啦，就是那个ASP.Net环境下的后门。那是我不成熟的作品，要是有什么不顺手的地方还希望多多包涵。呵呵，今天呢，还是让偶来“黄婆卖瓜自卖自夸”吧，给大家介绍一下WebAdmin的最新版本——WebAdmin 2.Y。

WebAdmin 2.Y功能上与2.X大致一样，不过2.Y是C/S版本。呵呵，C/S是大势所趋嘛。C/S的好处就是能把很短的一段代码插入正常文件、POST方式控制不留痕迹，真是杀人灭口、居家旅行的必备良药啊。

废话少说，看看使用说明先。

既然是ASP.Net下的后门，当然要求ASP.Net环境。一般来说，Windows2003是默认支持的，Windows2000/XP需要安装.Net FrameWork。

玩过ASP下C/S后门的朋友都该知道，它的C/S后门放置很简单，就是随便找个ASP文件添加代码“execute request("s")”或“eval request("s")”进去就是，十分简单。这是利用了函数execute的功能就是执行代码，但在ASP.Net下没有类似函数，实现C/S要复杂一点。

在ASP.Net环境下可以把代码编译成dll文件以提高执行效率，这个就类似ASP下的组件机制，不过这里是不用注册的，只需要把编译好的dll放在网站根目录的bin目录之下即可调用自己开发的组件。

WebAdmin2.Y就是基于这种组件思想，服务端dll呢就是你现在看到的WebAdmin2Y.dll，这个文件端要放在被控网站Web目录的bin子目录之下。有些系统的Web目录下没有bin文件夹，那我们给它新建一个就是；代码就包含在SampleCSharp.aspx和SampleVB.aspx里。因为ASPX文件可以用VB.Net或C#编写，所以SampleCSharp.aspx里包含的是C#的代码，而SampleVB.aspx就是VB.Net的代码了。使用时根据实际情况选择之。

那个webadmin2y.htm就是客户端了，本地使用。界面全是英文，不要骂我崇洋媚外呀，其实主要目的是为了练练英文，呵呵，你也跟着练练吧^_^

是不是脑子里晕乎乎的？好，下面我给个实例给大家看看这个东东到底怎么用。

偶在本地搭建了个IIS5.1+.Net FrameWork的环境，Web目录在E:\MyWeb\。我们要留后门的系统是动网新闻4.1（ASP.Net程序），它的位置是E:\MyWeb\dvnews\。动网新闻的N多dll文件在安装的时候被要求放置在Web目录的bin目录下（即E:\MyWeb\bin\）。

假设偶已经入侵了本地主机，现在我想用WebAdmin 2.Y留个C/S Web后门。

首先，应该把WebAdmin2Y.dll这个dll文件放到Web目录的bin目录下（这里是E:\MyWeb\bin\），注意名字WebAdmin2Y.dll不要乱改哟，改了就不行了。

接着我们要找个受害文件，一般是.aspx。呵呵，这里我顺手就把mail.aspx选中了（真可怜～～）。因为动网新闻是用C#写的，所以我要用到SampleCSharp.aspx里的代码。

现在打开文件mail.aspx，看到它的第一行是ASP.Net的头（以“<%@”开始），这个偶们惹不起，不要动它，在它后面（ASP.Net头之后html标记之前，这里是第2行）插入SampleCSharp.aspx里的代码：

<script language="C#" runat="server">

</script>

这里还要罗嗦两句：如果你要修改的aspx文件里面含有“<script runat="server">……</script>”标签的话，你就不需要再复制script标签了——因为一个aspx文件只能有一个“<script runat="server">……</script>”。编辑文件前最好备个份，小心留后门失败把人家的网站搞砸了。

呵呵，现在后门已经留好了，偶直接访问mail.aspx文件试试（图1）。

在直接访问的情况下显示正常页面，ok！

现在偶们运行客户端（就是那个webadmin2y.htm，图2）

呵呵，还是先介绍一下客户端界面。

“The URL”就是你的后门地址啦，这里我们应该填“http://127.0.0.1/dvnews/mail.aspx”；“Password”自然就是你的密码了。不知道各位注意到没有，刚才我们在mail.aspx文件留下的代码里有个类似MD5的东东——“add6bb58e139be10”。呵呵，它就是你的密码。这个密码怎么得到呢？客户端主界面有个“Get Your Encode Password”链接，你点击它就会弹出个页面来获取你自己的密码（图3）。这里的“add6bb58e139be10”就是“webadmin”。算法很简单，就是取密码的MD5值的前16位（不是该取中间16位吗？嘿嘿，我故意的）。

“Function”就是功能列表了，这里的功能包括ABOUT（关于）、Attributes（查看和修改文件属性，新增的）、Command（执行CMD）、CloneTime（克隆时间）、Copy File&Folder（复制）、Database（操作MSSQL或者Access数据库）、Delete（删除）、Edit TextFile（编辑）、File List（列目录）、New File&Folder（新建）、ReadReg（读注册表）、Rename（重命名）、SQLRootKit、Server Variable（基本信息）、UploadFile（上传）、DownLoad File（下载）。你选择相应的功能，填好下面的表单内容点“Send”就OK了。

比如现在我执行“net user”这个命令（图4，图5）


呵呵，看到结果了吧。这里只是给大家一个演示，WebAdmin2.Y更多的功能还是需要你自己下去试哦。

嘿嘿，最后提醒一下，客户端有个CloneTime功能，可以把某个文件的创建、最后修改时间改得跟另一个文件一样。快用它改掉你刚才修改的文件的时间吧^_^

对管理员或者杀毒软件来说，对付WebAdmin2.Y最简单的办法是检查bin下面有没有WebAdmin2Y.dll这个文件，但是如果贸然删除这个dll而不恢复被改动的文件就可能会造成网站应用程序崩溃，还请管理员大叔三思而行咯。

（WebAdmin 2.Y 在这里可以下载：http://www.0x54.org/lake2/program/Webadmin2Y.rar）

PS：关于WebAdmin2.Y的原理及源代码，等偶放假整理一下然后发在Blog