Heim > Artikel > Betrieb und Instandhaltung > Was ist die Webshell-Analyse der verschleierten Verformung?
Ursprünglich wurde Webshell oft als Skript für Webserveradministratoren zur Fernverwaltung von Servern bezeichnet. Später, mit der Einführung einiger Webshell-Verwaltungstools, wurde der Prozess zum Erhalten von Webberechtigungen erheblich vereinfacht, sodass er nach und nach als Web-Intrusion-Tool-Skript bezeichnet wurde.
Webshell unterscheidet sich von Schwachstellen, nutzt jedoch Anwendungsschwachstellen oder Serverschwachstellen (Schwachstellen beim Hochladen von Dateien, Schwachstellen beim Einschließen von Dateien usw.), um Skriptdateien zur späteren Ausnutzung auf den Server hochzuladen, was zur späteren Ausnutzung gehört des Penetrationstests und der ATT&CK TA0002 Ausführungsphase (Ausführung).
Abbildung 1 TA0002
Referenzquelle: https://mitre-attack.github.io/attack-navigator/ (ATT&CK Navigator)
Um Erkennungs- und Schutzgeräte, Software usw. zu umgehen, ändern Angreifer häufig ihre Webshell-Schreibmethoden, um sicherzustellen, dass ihre Skripte nicht erkannt werden und gleichzeitig die Funktionalität gewährleistet ist PHP-Skripte sind wichtiger. Da die PHP-Skriptsprache über viele verfügbare Funktionen verfügt, kann PHP auf immer neue Arten geschrieben werden, die Verwirrung stiften und deformieren.
Ein-Satz-Trojaner gehören ebenfalls zu Webshell-Skripten. Freunde, die sich für Ein-Satz-Trojaner interessieren, können die vorherige Ausgabe von „Mehrere Transformationen von Ein-Satz-Trojanern“ lesen und selbst lernen und verstehen. Dieser Artikel konzentriert sich nicht auf Wiederholung.
Bei der Analyse von Webshells habe ich festgestellt, dass es eine Art Webshell gibt, die verschiedene Erkennungssoftware vollständig umgehen kann Auf Codeebene scheint es oft bedeutungslos zu sein, und es gibt keine gemeinsamen Webshell-Funktionen. Nach dem Durchsuchen der Ebenen ist es jedoch nicht schwierig, die Idee dieser Art von verschleiertem Skript zu finden und habe es mit meinen Freunden geteilt. Der Analyseprozess dieses Skripts soll auch als Ausgangspunkt dienen.
Als ich dieses Skript zum ersten Mal sah, sah ich die offensichtliche Auswertungsfunktion in seinem Inhalt, also habe ich diesen Teil instinktiv extrahiert des Codes, aber das reichte nicht aus, um irgendetwas zu beweisen, denn der Inhalt war alles scheinbar ahnungsloser, verstümmelter Code ohne jede Spur von WebShell.
Wenn Sie genau hinschauen, können Sie feststellen, dass zusätzlich zu eval auch die drei Funktionen gzinflate, base64_decode und str_rot13 aufgerufen werden, um einen Durchbruch in der Analyse zu erzielen.
Abbildung 2 Skriptinhalt
str_rot13()
ROT13-Kodierung verschiebt jeden Buchstaben im Alphabet um 13 Buchstaben nach vorne. Zahlen und nichtalphabetische Zeichen bleiben unverändert (Caesar-Chiffre).
base64_decode()
Base64 kodiert den String-Inhalt.
Gzinflate
Die Daten werden standardmäßig von ZLIB_ENCODING_RAW codiert und der Deflate-Datenkomprimierungsalgorithmus verwendet. Tatsächlich werden sie mit komprimiert Zuerst LZ7 und dann mit Huo Furman-Codierungskomprimierung.
Abbildung 5 Mehrfachanalyse
3.Nach Recherchen wurde festgestellt, dass zu den Funktionen dieses Trojaners das Abrufen von Systeminformationen, das Lesen von Verzeichnissen, das Herunterladen von Dateien, das Hochladen von Dateien usw. gehören.
Bild 6 Das ursprüngliche Erscheinungsbild Malaysias
Das obige ist der detaillierte Inhalt vonWas ist die Webshell-Analyse der verschleierten Verformung?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!