栏目导航: 首页 > 检测提权 > 免杀后门 > 内容

有趣的小技巧,Webshell的克星

www.hx99.net    时间: 2016-03-03    阅读: 次     整理: 华西安全网

 偶然捡到一个加密的webshell,PHP神盾 Var 1.54加密的。记事本打开是一堆乱码,百度了一下有大侠搞出来了。

他的方法是利用php_apd扩展解密:

大概知道什么意思,具体不知道怎么操作,是不是还有什么办法呢?用OD尝试了一下,确实可以。
自己搭建一个Apache服务,并开启。

1

然后od附加httpd进程,注意附加那个红色的(因为附加另一个会马上挂掉),然后让httpd继续运行。

2

现在可以在浏览器里访问本地加了密的webshell了,例如http://localhost/DebugPHP/818.php
到OD中搜索内存,我们已经可以看到明文了,webshell的口令也是一目了然啊:)

  3
4
剩下的事就很简单了,把内存中的二进制数据复制出来保存一下就ok了。

我这个是PHP神盾 Var 1.54加密的,到网上搜了一个解密工具,实践了一下也可以成功解密。
但是这个工具本身也是加密的,不管它什么加密,如法炮制。
新建一个dec.php文件,其中decryption.php就是加密形式的PHP神盾 Var 1.54解密工具。

这次更简单,直接访问http://localhost/DebugPHP/dec.php,明文又出来了,还是老位置,找都不用找。

5

提取出来是这样的:

调试了一下,主要是正则表达式的使用,眼睛都看花了。

6
【via@90sec-hyphen】 本文系授权转载,未经授权请勿转载本文!
本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭