| Webshell安全检测(3): WeBaCoo网站后门特征分析 – 安全村 | 您所在的位置:网站首页 › 珠海万科房地产有限公司怎么样呀知乎 › Webshell安全检测(3): WeBaCoo网站后门特征分析 – 安全村 |
Webshell安全检测(3): WeBaCoo网站后门特征分析 – 安全村
|
打印 .PDF 电子书
流量样本PCAP of the traffic:webacoo.pcap
具体链接:http://www.watcherlab.com/file/download/webacoo.pcap
1、概述 WeBaCoo (Web Backdoor Cookie) script-kit是一个小巧的、隐蔽的php后门,它提供了一个可以连接远程web服务器并执行php代码的终端。WeBaCoo使用HTTP响应头传送命令结果,shell命令经base64编码后隐藏在Cookie头中。 2、WeBaCoo 网络数据流特征WeBaCoo 网络数据流分析
图1 通过下图TCP 会话流可看出请求头和响应头的 Cookie, Set-Cookie的数据经过base64编码。
图2 下图经过base 64解码得出 请求头和响应头的 Cookie, Set-Cookie值分别为: whoami , nt authority\system
图 3 通过以上分析,可以清楚看出WeBaCoo 网络数据流特征,攻击者连接WeBaCoo后门程序 执行的whoami命令服务器响应并返回数据。 3、WeBaCoo 样本文件特征 文件类型:webacoo.pl 文件大小:40199 MD5值: 57A055D17C73E54DDE921912718E97D0 SHA1值: 84746A9144DB4034DEFD2C558E6E5B954FD64548 SHA256值:56F2C5E0322F193A5C775CDD7171936331209BA085C40AD41E05037864F8929C WeBaCooh后门程序代码如下:
从代码分析中可以得出 程序在调用generate_backdoor函数时创建php后门, 使用$_COOKIE超全局数组接受cm变量的值,并用base64_decode函数对传递过来的shell命令进行编码。 感谢大家关注“守望者实验室”!
|
【本文地址】