栏目导航: 首页 > 安全防御 > 网站安全 > 内容

抓取软件后门的简单技巧

www.hx99.net    时间: 2016-11-17    阅读: 次     整理: 华西安全网

 首先打开抓包工具WSExplorer,选择进程

 
发现有一个除了检测的shell以外的一个连接

,地址为115.236.113.10

11

把上图的ip地址拿到同服务器查询,发现是网易乐乎的博客站点
 
打开wireshark,抓取115.236.113.10的所有数据包
  1. ip.dst_host==115.236.113.10 or ip.src_host==115.236.113.10
 
筛选http
  1. ip.dst_host==115.236.113.10 or ip.src_host==115.236.113.10 and http
 
从一个get请求中获得url
  1. http://*****.lofter.com//post/1de1b43d511_af82138
发现一串字符,不知道是一段什么指令~
该博客还有类似的,可能只是检测更新的标识~
 
wireshark过滤包含有 “≮SG3AyF”的连接
  1. tcp contains “≮SG3AyF”
整理后如下
  1. lz0D|E,@1sq
  2. P ro&"PHTTP/1.1 200 OK
  3. Server: nginx
  4. Date: Thu, 25 Aug 2016 03:14:11 GMT
  5. Content-Type: text/html;charset=UTF-8
  6. Transfer-Encoding: chunked
  7. Connection: keep-alive
  8. Vary: Accept-Encoding
  9. Content-Security-Policy: script-src 'self' *.netease.com *.127.net *.126.net *.163.com *.w3t.cn *.googletagmanager.com *.google-analytics.com *.googleadservices.com *.google.com res.wx.qq.com 3gimg.qq.com jsapi.qq.com 127.0.0.1:* 114.113.202.197:* 10.241.1.94:* 'unsafe-inline' 'unsafe-eval' blob:;style-src * 'unsafe-inline' data:;
  10. Set-Cookie: NTESLOFTSI=7171E7B6972E8AEA09A5E8902A614FD2.hzabj-lofter6-8010; Domain=.www.lofter.com; Path=/
  11.  
  12. 3c4
  13. <!DOCTYPE html>
  14. <html xmlns="http://www.w3.org/1999/xhtml">
  15. <head>
  16. <link media='screen' type='text/css' rel='stylesheet' href='http://l.bst.126.net/rsc/js/pagelayer/pagelayer.css?0013'/><script type='text/javascript' src='http://l.bst.126.net/rsc/js/pagelayer/pagelayer.js?0011'></script>
  17.  
  18. <meta name="themename" content="132002"/>
  19. <meta charset="utf-8"/>
  20. <title>Shell-</title>
  21. <link rel="shortcut icon" href="http://www.lofter.com/favicon.ico"/>
  22. <link rel="alternate" type="application/rss+xml" href="http://testsec.lofter.com/rss"/>
  23. <meta name="Keywords" content=""/>
  24. <meta name="Description" content="SG3AyFyArdTeSfhBmGTgSMqGjgrBqGydnfnCTdkA2F2cSfxFnc6A6CUcTAhFkcCO5Cnc5A3F"/>
  25.  
  26. <meta name="if:" content="1"/>
  27. <meta name="if:" content
好吧,只是简单介绍一些抓取后门方法。并不是说这个软件有后门。可以检测简单的一些菜刀后门,比如XISE
 
——————————2016/9/13/1:18————————————————
说明,本人专注web和网络,尚未接触软件编程。在后台看到有人(php90)回复说只是检测更新的接口,关于标题确实有些不恰当(已修改),但是文中已经说明这是“可能是检测更新”,“介绍抓取后门技巧”
选择此软件测试是因为在批量检测shell后360提示有数据上传操作。但数据包分析过程中并未发现。不针对任何人。

————-2016/10/15——————————————

本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭