为什么不使用Chimay-Red的shell功能而使用TinyShell后门?
其实,在这里,可能会有小伙伴有疑问:就是Chimay-Red支持shell功能,但是为什么我们不使用它的shell功能,而要使用TinyShell后门呢?
通过实际使用Chimay-Red的shell功能及TinyShell后门,笔者将其做了如下对比:
- Chimay-Red的shell功能的通信数据包是明文传输的;
- Chimay-Red的shell功能的操作不是很方便,若需要上传文件等行为,则需要退出shell,再调用Chimay-Red上传文件;
- TinyShell后门的通信数据包是加密传输的;
- TinyShell后门支持命令自动补全等特性,且支持上传、下载文件功能。
Chimay-Red的shell功能的通信数据包截图如下:
TinyShell后门功能分析
通过分析,发现TinyShell的功能其实很简单,可能是为了更好的兼容并适配各种类型的网络设备环境吧,因此其只具备基本的shell功能及上传/下载文件功能。
下载文件
通过对TinyShell的源码进行剖析,发现tshd_get_file函数为下载文件功能函数,此外,为了更完整的对不同环境下的TinyShell程序进行剖析,笔者还将动态编译及静态编译下的TinyShell反编译代码进行了对比,详细情况如下:
- 源码
- 动态编译
- 静态编译
上传文件
通过对TinyShell的源码进行剖析,发现tshd_put_file函数为上传文件功能函数,此外,为了更完整的对不同环境下的TinyShell程序进行剖析,笔者还将动态编译及静态编译下的TinyShell反编译代码进行了对比,详细情况如下:
- 源码
- 动态编译
- 静态编译