sshd门

把二进制文件直接拖入IDA中,没用过IDA,中间很多学习的过程就不说了,直接说步骤:

IDA有一个窗口是查看文件中的字符串,一般来讲后门肯定是有一个万能密码的,所以先打开字符串窗口,发现很多字符串,直接搜索password,发现一个非常可疑的字符串:+user:%s+password:%s\n;

这个很明显是c语言格式化输出用户名和密码,直接双击点进去查看汇编,找到了反汇编之后的字符串:

双击data后面IDA解析的内容,查看汇编,找到了输出的位置:

大佬可以直接分析汇编,但是IDA还有两个个功能:一个是切换流程图视图,一个是F5大法转化为伪C语言,先按空格转化为流程图:

直接就发现,右边有一个名字是backdoor_active的函数,往上翻到调用这个函数的地方,即auth_password函数开始,发现程序会把密码和一串字符对比,如果相同,就会直接调用backdoor函数,绕过验证,直接登陆:

这个就是后门文件的万能密码。反过来在看左边,如果密码不是万能密码的话会一步一步验证,到+user:%s+password:%s\n;字符创的位置会打开一个文件,并将这部分打印到这个文件中,这样就记录了所有登陆过的用户名和密码:

最后再看一下F5的伪C语言代码,流程比较清晰,这个后门放用户名和密码的文件伪装性还不错:

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180507G15LIH00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券