Betrieb und Instandhaltung
Sicherheit
Was ist die Webshell-Analyse der verschleierten Verformung?
Was ist die Webshell-Analyse der verschleierten Verformung?
Was ist WebShell?
Ursprünglich wurde Webshell oft als Skript für Webserveradministratoren zur Fernverwaltung von Servern bezeichnet. Später, mit der Einführung einiger Webshell-Verwaltungstools, wurde der Prozess zum Erhalten von Webberechtigungen erheblich vereinfacht, sodass er nach und nach als Web-Intrusion-Tool-Skript bezeichnet wurde.
Webshell unterscheidet sich von Schwachstellen, nutzt jedoch Anwendungsschwachstellen oder Serverschwachstellen (Schwachstellen beim Hochladen von Dateien, Schwachstellen beim Einschließen von Dateien usw.), um Skriptdateien zur späteren Ausnutzung auf den Server hochzuladen, was zur späteren Ausnutzung gehört des Penetrationstests und der ATT&CK TA0002 Ausführungsphase (Ausführung).
Abbildung 1 TA0002
Referenzquelle: https://mitre-attack.github.io/attack-navigator/ (ATT&CK Navigator)
Um Erkennungs- und Schutzgeräte, Software usw. zu umgehen, ändern Angreifer häufig ihre Webshell-Schreibmethoden, um sicherzustellen, dass ihre Skripte nicht erkannt werden und gleichzeitig die Funktionalität gewährleistet ist PHP-Skripte sind wichtiger. Da die PHP-Skriptsprache über viele verfügbare Funktionen verfügt, kann PHP auf immer neue Arten geschrieben werden, die Verwirrung stiften und deformieren.
Ein-Satz-Trojaner gehören ebenfalls zu Webshell-Skripten. Freunde, die sich für Ein-Satz-Trojaner interessieren, können die vorherige Ausgabe von „Mehrere Transformationen von Ein-Satz-Trojanern“ lesen und selbst lernen und verstehen. Dieser Artikel konzentriert sich nicht auf Wiederholung.
Hintergrund
Bei der Analyse von Webshells habe ich festgestellt, dass es eine Art Webshell gibt, die verschiedene Erkennungssoftware vollständig umgehen kann Auf Codeebene scheint es oft bedeutungslos zu sein, und es gibt keine gemeinsamen Webshell-Funktionen. Nach dem Durchsuchen der Ebenen ist es jedoch nicht schwierig, die Idee dieser Art von verschleiertem Skript zu finden und habe es mit meinen Freunden geteilt. Der Analyseprozess dieses Skripts soll auch als Ausgangspunkt dienen.
初见script
Als ich dieses Skript zum ersten Mal sah, sah ich die offensichtliche Auswertungsfunktion in seinem Inhalt, also habe ich diesen Teil instinktiv extrahiert des Codes, aber das reichte nicht aus, um irgendetwas zu beweisen, denn der Inhalt war alles scheinbar ahnungsloser, verstümmelter Code ohne jede Spur von WebShell.
Wenn Sie genau hinschauen, können Sie feststellen, dass zusätzlich zu eval auch die drei Funktionen gzinflate, base64_decode und str_rot13 aufgerufen werden, um einen Durchbruch in der Analyse zu erzielen.
Abbildung 2 Skriptinhalt
Funktionserklärung
str_rot13()
ROT13-Kodierung verschiebt jeden Buchstaben im Alphabet um 13 Buchstaben nach vorne. Zahlen und nichtalphabetische Zeichen bleiben unverändert (Caesar-Chiffre).
base64_decode()
Base64 kodiert den String-Inhalt.
Gzinflate
Die Daten werden standardmäßig von ZLIB_ENCODING_RAW codiert und der Deflate-Datenkomprimierungsalgorithmus verwendet. Tatsächlich werden sie mit komprimiert Zuerst LZ7 und dann mit Huo Furman-Codierungskomprimierung.
Analyse
1.Inhaltsanalyse
# 🎜🎜#
2.Analyse wiederholen#🎜 🎜#Nach dreimaligem Parsen des Echo-Befehls war das, was erschien, endlich kein eintöniger Code mehr. Es bewies, dass die Richtung der Analyse wahrscheinlich richtig war, und gemessen an der Menge des Codes fühlte sich wie ein Trojaner mit mehreren Funktionen an, die allgemein als große Pferde bekannt sind.
Abbildung 5 Mehrfachanalyse
Rufen Sie die Bewertungsfunktion auf Führen Sie den Codeinhalt ausGuter Kerl, er ist tatsächlich ein großes Pferd.
Nach Recherchen wurde festgestellt, dass zu den Funktionen dieses Trojaners das Abrufen von Systeminformationen, das Lesen von Verzeichnissen, das Herunterladen von Dateien, das Hochladen von Dateien usw. gehören.
Bild 6 Das ursprüngliche Erscheinungsbild Malaysias
Das obige ist der detaillierte Inhalt vonWas ist die Webshell-Analyse der verschleierten Verformung?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Heiße KI -Werkzeuge
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Undress AI Tool
Ausziehbilder kostenlos
Clothoff.io
KI-Kleiderentferner
AI Hentai Generator
Erstellen Sie kostenlos Ai Hentai.
Heißer Artikel
Heiße Werkzeuge
Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor
SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen
Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung
Dreamweaver CS6
Visuelle Webentwicklungstools
SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)
Heiße Themen
1381
52
So implementieren Sie den Webshell-Upload unter Nginx-Lastausgleich
May 16, 2023 am 08:16 AM
Bei der Beschreibung des Szenarios wird davon ausgegangen, dass in einer realen Produktionsumgebung eine RCE-Schwachstelle vorliegt, die es uns ermöglicht, die Installation der WebShell-Umgebung zu erhalten. Bevor wir das anfällige Image auf GetHub abrufen, müssen wir zunächst Nginx und Tomcat auf Centos installieren Konfigurieren Sie die Konfigurationsdatei von Nginx und Tomcat, laden Sie das Image mit Docker herunter und reproduzieren Sie die Sicherheitslücke. 1. Richten Sie zuerst die Docker-Umgebung ein. 2. Testen Sie, ob auf Tomcat zugegriffen werden kann. 3. Überprüfen Sie den Lastausgleich von Nginx Reverse Proxy. Überprüfen Sie die Ameise in lbsnode1 im Docker-.jsp-Text
So analysieren und verfolgen Sie die Quelle der WebShell-Datei-Upload-Schwachstelle im Mozhe Shooting Range
Jun 01, 2023 am 08:55 AM
1. Nach dem Öffnen der URL wurde festgestellt, dass es sich um eine Upload-Seite handelte. 2. Die Datei mit dem Suffix php wurde direkt hochgeladen, es wurde jedoch festgestellt, dass sie nicht hochgeladen werden konnte. 3. Verwenden Sie BurpSuite, um das Paket zu erfassen und das Suffix zu ändern der hochgeladenen Datei mit dem Suffix php zu php5, um sie zu umgehen. Im Verzeichnis var/www/html wird eine Datei mit KEY5 gefunden eine andere URL, die auch eine Upload-Seite ist, aber die Upload-Liste ist nur auf das Hochladen von Dateien mit dem Suffix .gif.jpg.png eingestellt. 6. Wir schreiben einen TXT-Trojaner mit einem Satz und ändern sein Suffix in jpg7. Verwenden Sie beim Hochladen BurpSiuit, um das Paket zu erfassen und das anzuzeigende Dateisuffix zu ändern
WebShell-Sicherheitseinstellungen des Pagoda-Panels
Jun 21, 2023 pm 04:35 PM
Da Fragen der Internetsicherheit immer wichtiger werden, ist die Sicherheit wichtiger Websites und Anwendungen zu einem immer wichtigeren Thema geworden. Insbesondere im Website-Betrieb und Wartungsmanagement werden häufig Tools wie WebShell für Wartung und Reparatur benötigt. WebShell wird jedoch auch häufig von Hackern verwendet und wird zum Einstiegspunkt für Angreifer. In diesem Artikel werden die WebShell-Sicherheitseinstellungen des Pagoda-Panels vorgestellt, um Website-Administratoren dabei zu helfen, die Sicherheit der Website zu verbessern. 1. Das Konzept und die allgemeine Verwendung von WebShell 1. Konzept WebShell ist
Website-Schwachstellenbehebung: Beispielanalyse für das Hochladen eines Webshell-Schwachstellenpatches
May 30, 2023 pm 01:49 PM
SINE Security führte eine Website-Schwachstellenerkennung und -behebung auf der Website eines Kunden durch und stellte fest, dass die Website schwerwiegende SQL-Injection-Schwachstellen und Schwachstellen in hochgeladenen Webshell-Website-Trojanern aufwies. Die Website verwendete ein CMS-System, das mit der PHP-Sprache und der MySQL-Datenbankarchitektur entwickelt wurde Der Quellcode dieser Website ist derzeit Open Source. Ein bestimmtes CMS ist ein soziales CMS-System, das sich auf die Bereitstellung von kostenpflichtigem Wissen konzentriert. Dieses System kann Dokumente teilen und gegen eine Gebühr herunterladen. Die von Benutzern veröffentlichten Wissensinhalte können ausgeblendet und bereitgestellt werden an zahlende Kunden lesen. Der Code ist relativ schlank und gefällt den meisten Webmastern. Die Schwachstelle dieser Website tritt hauptsächlich beim Hochladen des komprimierten Pakets und beim Erstellen böswilligen Dekomprimierungscodes auf, der auf das w im ZIP-Paket verweist.
Was ist die Leistungsanalyse von WAF bei der WebShell-Verkehrserkennung?
May 16, 2023 pm 07:47 PM
Einrichten der lokalen Umgebung Den gespeicherten Screenshots nach zu urteilen, ist die PHP-Version der anderen Partei 5.6.40, daher möchte ich eine Testumgebung von Apache+php5.6.40 einrichten. Öffnen Sie Virtualbox, kopieren Sie den Link zum Centos-Image-System und konfigurieren Sie ihn gemäß dem folgenden Prozess. 1.Installieren Sie apacheyuminstall-yhttpdhttpd-vServerversion:Apache/2.4.6(CentOS)Serverbuilt:Aug8201911:41:182.Installieren Sie php5.6yum-yinstallepel-releaserpm-Uvhhttps://mi
Eine kurze Diskussion über das Webshell des Empire CMS-Frameworks
Mar 16, 2021 am 10:48 AM
Dieser Artikel stellt Ihnen die Webshell des Empire CMS-Frameworks vor. Es hat einen gewissen Referenzwert. Freunde in Not können sich darauf beziehen. Ich hoffe, es wird für alle hilfreich sein.
Beispielanalyse von per Webshell hochgeladenen Rückverfolgbarkeitsereignissen
May 12, 2023 pm 02:43 PM
Zunächst einmal verstehe ich, dass ich nicht herausfinden muss, wo der hochgeladene Speicherort angezeigt wird. Ich sollte mich beim Server anmelden, um eine WebShel-Inspektion durchzuführen und festzustellen, ob er von anderen angegriffen wurde eine Hintertür usw. usw. Obwohl es sich bei der gemeldeten IP-Adresse um die IP-Adresse unseres Unternehmens handelt, was können wir tun, wenn der Server angegriffen wird, wenn einige Webshells übersehen und von anderen erfolgreich hochgeladen, aber nicht erkannt werden? Also ging ich hoch, um den Server zu inspizieren, lud dieses Webshell-Kill-Tool zum Töten hoch, benutzte netstat-anpt und iptables-L, um festzustellen, ob eine Hintertür eingerichtet war, überprüfte, ob ein Mining-Programm die CPU belegte usw., das werde ich tun Gehen Sie hier nicht auf Details ein. Glücklicherweise wurde der Server nicht kompromittiert, und dann
Was ist die Webshell-Analyse der verschleierten Verformung?
May 19, 2023 pm 11:07 PM
Was ist WebShell? Anfangs wurde Webshell häufig als Abkürzung für einen Skripttyp verwendet, mit dem Webserveradministratoren den Server aus der Ferne verwalten. Später, mit der Einführung einiger Webshell-Verwaltungstools, wurde der Prozess zum Erhalten von Webberechtigungen erheblich vereinfacht, sodass er nach und nach als Web-Intrusion-Tool-Skript bezeichnet wurde. Webshell unterscheidet sich von Schwachstellen, nutzt jedoch Anwendungsschwachstellen oder Serverschwachstellen (Schwachstellen beim Hochladen von Dateien, Schwachstellen bei der Dateieinbindung usw.), um Skriptdateien zur späteren Ausnutzung auf den Server hochzuladen. Es gehört zur anschließenden Ausnutzung von Penetrationstests und der Ausführung (Ausführung). ) Phase von ATT&CK. Abbildung 1TA0002 Referenzquelle: https
