记一次对加密后pythonEXP的解密以及分析

2024-06-01 920 0

前不久,我获得了某个黑客以100U天价售卖的全自动GetShell工具,打开之后都是乱七八糟的加密,接下来我会解出源码并分析此工具。

记一次对加密后pythonEXP的解密以及分析插图

首先看这个代码最后一行,是导入某模块,我们用ascii转换成字符串看看。

print(b"\x62\x61\x73\x65\x36\x34".decode(ascii))

结果出现base64,我便推测这些代码均可用ascii解码并用base64解密,从而解出源码

我先把其全部的密文转换成byte形式

记一次对加密后pythonEXP的解密以及分析插图1

其部分base64密文

然后我再将其解密:

记一次对加密后pythonEXP的解密以及分析插图2

解密完成。

接下来是分析

记一次对加密后pythonEXP的解密以及分析插图3

这部分是导入相关模块以及给颜色变量,与工具的功能并无太大关联

记一次对加密后pythonEXP的解密以及分析插图4

shell那就是一句话木马了,从中我大概可以猜到这个原理是通过某个漏洞或功能上传php马并获取部分权限,下边是设置请求头。

记一次对加密后pythonEXP的解密以及分析插图5

打开有关文件并读取,这不重要

记一次对加密后pythonEXP的解密以及分析插图6

URL重写,便于下面的文件上传等操作

记一次对加密后pythonEXP的解密以及分析插图7

相对最重要的代码:

check = requests.get(url+'/wp-content/plugins/work-list/lang.php',headers=headers, allow_redirects=True,timeout=15)

check变量是检查是否有/wp-content/plugins/work-list/lang.php文件,如果有:则检查文件中有无"Yanz Webshell"字符。如果有则保存到shells.txt

综上所述,这只是一个扫webshell的工具,且只能扫描一种webshell


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

Windows NTLM 漏洞遭多起攻击活动利用(CVE-2025-24054)
CVE-2025-24054漏洞正遭活跃利用——文件下载时窃取NTLM凭据
恶意npm软件包伪装Telegram Bot API,在Linux系统植入SSH后门
红队APT基础 | 钓鱼邮件制作与钓鱼页面落地落实(三)
Linux io_uring概念验证Rootkit可绕过基于系统调用的威胁检测工具
PoC攻击暴露Linux安全工具缺陷,以色列厂商称过度依赖eBPF埋隐患

发布评论