欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

揭秘黑客界:黑吃黑事件

来源:FreebuF.COM 作者:佚名 时间:2013-07-12 TAG: 我要投稿

 背景

习科安全顾问团队于5月份发布了《针对黑客M3QD4D的分析报告》引来各种技术达人吐槽不断,我们借本份报告对上个月的报告做一下说明。

第一是对所谓的大牛,传说中的大牛是不是都是事情没见做了多少,倒是吐了一口好槽,本着对技术的尊重还是希望大牛吐槽前先做好自己的事情;第二是内容,认定一个网站被某个人入侵是需要有充分的证据,否则不但无法指证而且嫌疑人还有权怀疑是嫁祸,习科的分析报告是有理有据的指证报告,科普文请左拐百度右拐谷歌;最后关于发布,凡是习科公开的报告都是已经被我们研究透彻再没有任何利用价值的报告,换句话说,仍然有价值或者更高深的研究报告仅限于我们内部调研,待到没有价值时我们才会公开它们。

更简单的说,我们是在表明一种态度:有一份已经公开的报告,就意味着有更多份价值更高技术层次更深的报告还没有公开。

1)从Webshell后门引发的血案

国内最著名的黑吃黑事件谁也说不好是什么,但要说持续时间最长规模最大,那无疑就是幽月的webshell后门事件了。从六七年前脚本式入侵兴起,一路的鼎盛一直到今天,幽月带后门的webshell仍然充斥在互联网的诸多角落。尤其是许多脚本小子利用网上公开的0day、编辑器漏洞傻瓜化的批量拿站,因为不懂代码而下载使用了带后门的webshell却浑然不觉,自己拿多少网站都是免费上贡给别人却还一边洋洋得意。

无论是对幽月的后门还是对其他的webshell后门,其实都不难以理解,基本都是一个套路下来。创建自定义函数,将url和密码处理一下,大部分通过GET方式提交到某个地方,然后这个地方就会被旁注、站长被社工、脱裤等等一系列黑吃黑吃黑吃黑的行为发生。

不过近日我们截获了一枚非常奇葩的黑吃黑webshell后门,之所以出具这份报告,也正是因为“奇葩”。这位黑客进行Webshell黑吃黑、盗QQ、XP弱口令入侵、扫描局域网QQ号,破解wifi无线密码,而这位黑客的真实身份竟然是启明星辰的安全培训讲师。看下去就知道了。

1.1 webshell的奇葩后门

我们截获的这个后门名为“2013最新超强免杀asp大马”,webshell体积为139,422 byte,

压缩后体积为77,723 byte,webshell除了密码部分外,其余部分都是进行了VBScript.Encode编码过的。反编码vbs encode其实很简单,网上有很多工具,甚至还有一些是在线反编码的,如果图省事可以到习科的兵器库的加密解密部分下载asp反编码工具。

在webshell的line 3定义了登陆密码:

 

UserPass="123456" ' 修改密码

通过跟踪程序如何处理 userpass 变量可以比较快速的确定 webshell 中是否有密码传递型后门(将明文密码和地址传送到指定地方的我们称之为密码传递型后门,在程序中添加特定验证密码的方式我们称之为万能验证型后门)。在密码登陆验证模块还列举了一个“serverp=userpass”的变量,因为这个 serverp 变量在程序中其他位置未找到任何引用。

我们对这个变量不进行关注,继续跟 userpass 变量的动作:

if session("web2a2dmin")<>UserPass then
if request.form("pass")<>"" then
if request.form("pass")=UserPass then
session("web2a2dmin")=UserPass
response.redirect url
else
rrs"<br><br><br><br><br><br><br><br><center> 密 码 不 正 确 , 请 确 认 是 否 输 入 有 误 !
</center>"
end if

以“web2a2dmin”为关键字我们搜索到了很多以这种验证方式为例来讲述万能验证型后门的文章。但是明显上面的代码并没有添加万能验证型后门。那我们继续跟踪userpass变量的后续动作,在程序的最末尾,我们跟踪到的结果:

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载