转载

看我如何绕过一个Webshell认证

看我如何绕过一个Webshell认证

当一个网站被攻击之后,攻击者通常会留一个后门或者webshell,便于将来继续控制该网站。通常会对这些webshell做一些混淆来躲避检测。并且也需要认证,保证只有攻击者能通过它控制网站。首先,我会还原混淆处理了的webshell,并演示如何在只有源代码而没有密码的情况下绕过认证。

看下面的webshell例子,它被放置在某个被攻破的网站上:

反混淆webshell

preg_replace有三个参数,正则表达式,替换字符串,被替换的对象。因为正则表达式中有e修饰符,它会把替换后的字符串当做PHP代码来执行。这与下面的代码类似:

preg_replace("/.*/", eval("/x65/x76/x61…/x29/x3B"), ".");

现在我们知道第二个参数被执行了,但是它看上去不像是PHP代码,这是因为代码被用十六进制编码了。一个双引号引起的字符串可以包含一些PHP能解释的转义字符。/x就是其中之一,可以在字符串中使用十六进制符号插入字符。比如,/x65就是e,因为在ASCII码表中就是这样的。手工转换这个字符串很费力,所以我使用PHP来完成:

echo "/x65/x76/x61…/x29/x3B";

结果

eval(gzinflate(base64_decode('5b19f…Z9P8C')));

在这里,base64_decode把文本转换为二进制,gzinflate解压这个二进制,eval把它作为PHP代码执行。要查看执行了什么PHP代码,我们用echo替换eval:

echo gzinflate(base64_decode('5b19f…Z9P8C'));

最终完成了我们的反混淆webshell工作。最后显示他是一个名为“WSO”的webshell,在GitHub上有它的 源代码 。

这样的手工反混淆PHP代码的过程,已经被Sucri在 PHP decoder 中实现了自动化,它可以自动完成上面的所有步骤。

绕过认证

代码中的$auth_pass变量说明这个webshell有认证机制。$auth_pass的格式是32个十六进制字符,说明它是明文密码的MD5值。现在我们有了webshell的源代码,我们可以确定:

if(!empty($auth_pass)) {     if(isset($_POST['pass']) && (md5($_POST['pass']) == $auth_pass))         WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);     if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))         wsoLogin(); }

它对post过来的pass参数做了一个MD5,并与$auth_pass相比较。单纯的MD5不是一个安全的保存密码的方式。首先,MD5非常快,你可以每秒计算数十亿个hash来暴力破解密码。第二,许多弱口令的MD5已经在互联网上公布,可以用 Google搜索 到。但是,这名黑客选择了一个非常好的密码,我们无法破解它。但是因为我们有了源代码,可以有另外一种方法获得webshell的访问权限。

正如你在代码中看到的,如果你的密码正确,它会设置一个特定的cookie。它会检查这个cookie,如果不正确,它会调用wsoLogin显示一个登录页面并退出脚本。否则它会继续执行webshell代码。cookie的key是主机名的MD5,其内容是$auth_pass的值。幸运的是,这两个值我们都有,所以能创建一个我们自己的cookie来访问webshell。

首先,计算主机名的MD5,这里的-n防止在MD5中出现换行符。

$ echo -n example.com | md5sum 5ababd603b22780302dd8d83498e5172 -

然后,设置一个cookie,key为5ababd603b22780302dd8d83498e5172,值为64a113a4ccc22cffb9d2f75b8c19e333,是$auth_pass的值。我使用Chrome的插件 EditThisCookie 来编辑cookie。现在,你可以在不知道密码的情况下登录这个webshell了。

*译者:felix,翻译自:http://www.sjoerdlangkemper.nl/2016/02/04/circumventing-authentication-of-a-webshell,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文  http://www.freebuf.com/articles/web/104730.html
正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Hive教程 Ant教程 ANTLR教程 SpringCloud java实例教程 springcloud-demo XStream教程 Hazelcast教程 Elastic-Job-Lite 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 solr教程 Hadoop教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 java-demo Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 Spring Cloud Consul实现选举机制
  2. 2 Spring Boot集成ShedLock实现分布式定时任务
  3. 3 利用oss进行数据库和网站图片备份
  4. 4 Spring Cloud Stream实现数据流处理
  5. 5 Python3访问MySQL数据库快速入门Demo
  6. 6 Github开源项目作者可以免费申请 JetBrains 全家桶
  7. 7 Spring Cloud Vault快速入门Demo
  8. 8 Spring Cloud Gateway快速入门Demo
  9. 9 Spring Cloud Contract快速入门Demo
  10. 10 Spring Cloud Consul快速入门Demo
网站信息
  • 文章总数:82,714 篇
  • 文件总数:284,287 个
  • 标签总数:2,393 个
  • 分类总数:85 个
  • 留言数量:2,560 条
  • 在线人数:639 人
  • 运行天数:4,409天
  • 最后更新:2024年11月22日01点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG