菜刀流量特征分析
一、 Webshell简介
webshell以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有不安分守己的人将代码修改后当作后门程序使用,以达到控制网站服务器的目的。
二、 中国菜刀
中国菜刀(Chopper)是一款经典的网站管理工具,具有文件管理、数据库管理、虚拟终端等功能。
它的流量特征十分明显,现如今的安全设备基本上都可以识别到菜刀的流量。现在的菜刀基本都是在安全教学中使用。
github项目地址:https://github.com/raddyfiy/caidao-official-version
由于菜刀官方网站已关闭,现存的可能存在后门最好在虚拟机运行,上面项目已经进行了md5对比没有问题。
三、 菜刀webshell的流量特征
1. “eval”,eval函数用于执行传递的payload,这是必不可少的;
2. (base64_decode($_POST[z0]))将代码payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测;
3. &z0=QGluaV9zZXQ...,该部分是传递代码payload,此参数z0对应$_POST[z0]接收到的数据,该参数值是使用Base64编码的,所以可以利用base64解码可以看到代码明文。
4. 请求代码解密明文: