揭露某些所谓"大佬"不为人知的另一面

本文作者:s9mf 小编寄语:为了公众号的长远发展,未来的投稿内容将不接受实战类的文章,无论你脱敏是否干净,每发一篇这样的文章将会让小编提心吊胆几天,还有一大票小伙伴在挑你的刺,无论你脱敏的如何干净,经过小伙伴的火眼金睛,都是可以让你的目标还原的,所以在此声明将来不再发布实战类的文章,今天的内容之所以能发,是因为之前发的文章留下的后遗症,本着为大家负责的心态,不得不在此提醒。 那么我们的公众号内容如何定位呢?往往一个好的产品都有清晰的定位,也需要有自己的特点,还要有标签,我在想,我们信安之路的标签是什么?我想了两个,一个是技术原理,一个是前辈经验,在我们的信安之路上,前辈的经验是我们的指路灯而技术原理是我们在这条路上一步一个脚印实实在在打下的基础,所以缺一不可,这也是我们作者团队为之努力奋斗的目标和方向,最后欢迎大家加入我们的作者团队,为我们大家的信安之路添砖加瓦。

水文一篇,大佬请一笑而过。

记一次有趣的渗透测试 Damian 表哥的文章

我看了表哥的文章觉得很赞耶,看文章的也能得免杀大马,真是太赞了。

看到表哥有大佬带就是好,文章最后 Damian 表哥也分享了文章的免杀大马和 1.php

赶紧下载下来怕百度云分享失效。

长夜漫漫,好鸡儿无聊啊,打开表哥的免杀大马分析一波。

分析大马

细致假装分析首先看这段。我们去掉 ' . 很明显浮现在我们面前的是 php 代码,是的没错同学们。

大概就是首先大马作者,将大马源码先使用 gzcompress 函数压缩,然后再 base64_encode 函数编码。

然后用 eval(gzuncompress(base64_decode(加密大马))); 来解密加密大马,解密过程先 base64_decode 编码解密,再 gzuncompress 解压,等于还是执行了刚刚的大马源码。

那么大马作者为什么,如此大费周章的又加密又解密大马。

老师: 为了绕过 waf 啊

小明: 为什么加密后,就能绕过?

老师: 首先 waf 会检测你文件的内容,根据一些特征码查杀,就是一些敏感函数之类的。

小明: 那 waf 不会检测这些加密然后去解密不就好了?

老师: 你想想,waf 也是软件啊,也会耗费内存啊,要是 waf 耗费那么多内存去检测你大马的内容,不就影响网站运行效率了嘛,何况 waf 也有担忧,要是误杀了正常文件呢。

小明: 那 waf 也太傻了吧

老师: 那倒未必,正常你使用的低配版 waf,要是那个有钱客户购买高配版,特别是一些云 waf。

就如低配版某狗长这样:

然而高配版:

没有对比就没有伤害。

前面我们知道了,大马源码是经过加密的,那我们要分析大马源码是不是得先解密呢,其实很简单。

我们知道 eval 是执行解密后 php 代码

那我们使用 echo来输出我们解密后的代码,就得到大马源码了。

然而你运行后会发现。

突然就弹个小框框。

那我还分析个毛代码,火狐卸载卸载...其实我们可以 Burp 抓包

先抓包 php.php 运行的包

右键选择 Send to Repeater 转到 Repeater 模块

然后把源码复制下来就可以愉快的玩耍啦。

刚刚复制好,杀软就报毒了,可见没了加密装饰的源码太明显了。

现在开始分析代码,在 1579~1597

很明显的后门收信代码,base64 解密试试。

不多说看图

还有

这样,别人就轻轻松松拿到你的 webshell,然后还好的是,我访问 http://qyvc.com/ 这个后门网站的时候。

网站显示404

站长工具查了下。网站已经挂了。

总结

天下从来没有免费的晚餐,有时你在某些 QQ 群文件看到什么过某狗免杀 waf 的时候,你想想,这等好事轮的到你,多半有后门,所以各位小伙伴们在使用菜刀啊,大马之类的,要小心点哦。

声明

我并不是指文章中的给表哥 Damian 免杀大马的大佬是这个大马的作者,很明显,这是后门狗做的,常见后门狗网站 www.mumaasp.com webshell8.com 其他小伙伴还知道的 可以留言下。

好吧,我承认我是 标题党。。

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2018-03-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏数据库新发现

Emulex公司介绍

最近使用到了Emulex公司的光纤卡,对这个公司的情况作了一下搜索,记录下来给自己参考:)

912
来自专栏phodal

操作系统Emacs是如何沦落为一代编辑器的?

(本文根据史实改编,如有雷同纯属巧合) 我正在用Emacs替换IDE和Sublime Text,至于理由看另外一篇文章《Emacs是最好的编辑器~~》。 开始之...

4748
来自专栏PHP在线

PHP实现网络刷投票

PHP刷投票,让你高居榜首! 案例为一个半月以前。没有及时放出原因有二,一是因为博客域名备案没有下来,没有心情写东西。二是最主要的,及时放出对案例网站有严重的损...

4076
来自专栏地方网络工作室的专栏

Vue2+VueRouter2+Webpack+Axios 构建项目实战2017重制版(十一)阶段性小结

Vue2+VueRouter2+Webpack+Axios 构建项目实战2017重制版(十一)阶段性小结 前情回顾 去年写的那一套东西,虽然我也写得非常的认真,...

2159
来自专栏张戈的专栏

详解Linux系统的CPU负载均值

上一篇文章的最后,作者提到了文章的参考来源,我特意前往访问了下,发现写得非常不错,特转过来,可以结合阅读,以便更容易理解 CPU 负载这个概念。 你可能对于 L...

5569
来自专栏嵌入式程序猿

你想要快速学习和开发J1939吗?

SAE J1939是CAN的一种高层协议,像CANOpen,Devicenet都属于CAN的高层协议,因为J1939算是比较简单的一种,广泛应用于重卡,农林,船...

1063
来自专栏较真的前端

[译] 响应式脑电波 — 如何使用 RxJS、Angular、Web 蓝牙以及脑电波头戴设备来让我们的大脑做一些更酷的事

2598
来自专栏知晓程序

这款小程序,想要和你一起「虚度时光」

一个人在家的时候,从来不敢在下午睡觉,因为,等你醒来,你就会发现屋内漆黑一片,屋外点点灯光,好像被世界抛弃了一样,孤独在那一刻表现的淋漓尽致。

741
来自专栏安恒信息

最为简单有效的加密工具将诞生

本月底美国纽约将举行的HOPE黑客大会中,电脑专家可波西将会推出一款超级简单的文件加密工具miniLock。这是一个免费、开源的浏览器插件工具,...

3058
来自专栏linux驱动个人学习

SMBus与I2C的差别

1552

扫码关注云+社区

领取腾讯云代金券