墨者学院 – WebShell代码分析溯源(第5题)Writeup

枫少@KillBoy
枫少@KillBoy
管理员
220
文章
0
粉丝
分析溯源5629,04112字数 32阅读0分6秒阅读模式
AI智能摘要
你是否好奇黑客是如何通过一行代码悄然控制整个网站的?本文带你深入剖析一道经典的WebShell溯源题目,揭秘攻击者利用回调函数隐藏后门的全过程。从`call_user_func`到`assert`函数的危险用法,结合菜刀连接方式与实际代码截图,逐步还原攻击链路。不仅能看懂恶意代码的运作逻辑,还能掌握快速定位与分析WebShell的关键技巧,提升安全防护与应急响应能力。
— AI 生成的文章内容摘要

墨者学院 – WebShell代码分析溯源(第5题)Writeup-图片1

找到该文件,经典的回调函数形式

菜刀连接,

ip/www/Exception.php?POST=assert  密码为assert

得到key

墨者学院 – WebShell代码分析溯源(第5题)Writeup-图片2

 

热门话题

未来WebShell检测将更依赖行为分析?
如何识别回调型WebShell代码?
WebShell中assert函数为何危险?

历史上的今天
3 月
12
 
枫少@KillBoy
  • it2021
  • it2021.com
  • webshell分析溯源
  • 分析溯源
评论  56  访客  55  作者  1
    • 漂泊者心声
      漂泊者心声 0
      日本 1F
      回复

      call_user_func加REQUEST,典型的后门写法了。

        • 墨云深
          墨云深 0
          辽宁省抚顺市 B1
          回复

          @ 漂泊者心声 老手一看call_user_func+REQUEST就知道是后门,藏不住

        • 鹿鸣幽谷
          鹿鸣幽谷 0
          中国 2F
          回复

          这个Exception.php命名太假了吧,一眼就看出来有问题。

          • 星星扭扭
            星星扭扭 0
            四川省攀枝花市 3F
            回复

            图片里代码高亮颜色看着真累,换个主题会好点。

            • 玉簟
              玉簟 0
              北京市 4F
              回复

              密码直接写assert?出题人还挺懂懒人操作😂

                • 兰心蕙质
                  兰心蕙质 0
                  上海市 B1
                  回复

                  @ 玉簟 assert当密码也太直白了点😂

                • 许珀里翁
                  许珀里翁 1
                  吉林省长春市 5F
                  回复

                  我之前搞过类似的,卡在参数传递好久才通。

                  • 枫叶之诗
                    枫叶之诗 1
                    江苏省南京市 6F
                    回复

                    这个@package注释是故意留的陷阱吗?求解。

                      • 无声的猫
                        无声的猫 0
                        广西南宁市 B1
                        回复

                        @ 枫叶之诗 估计是故意混淆,让人以为这是个正常库文件。

                      • 鬼影踪
                        鬼影踪 1
                        浙江省杭州市 7F
                        回复

                        PHP后门分析还是得看函数调用链。

                        • 一颗行走的柠檬
                          一颗行走的柠檬 1
                          湖北省十堰市 8F
                          回复

                          看不懂为啥用REQUEST不用POST,更隐蔽吧?

                            • Fifi
                              Fifi 0
                              广西 B1
                              回复

                              @ 一颗行走的柠檬 REQUEST包含了GET和POST所有参数,方便测试的时候直接传值。

                              • 草莓嘟嘟
                                草莓嘟嘟 0
                                上海市 B1
                                回复

                                @ 一颗行走的柠檬 用REQUEST不就是图省事嘛,GET POST都能打进去

                              • 噼啪火花
                                噼啪火花 1
                                上海市虹口区 9F
                                回复

                                assert能执行命令,关了报错也能绕过检测?

                                • 炽焰战魂
                                  炽焰战魂 0
                                  广东省 10F
                                  回复

                                  图片代码配色真的伤眼,看久了眼睛疼。

                                    • 晨曦的迷雾
                                      晨曦的迷雾 1
                                      上海市 B1
                                      回复

                                      @ 炽焰战魂 配色确实难受,建议用暗色主题。

                                    • 糖商潘
                                      糖商潘 0
                                      福建省厦门市 11F
                                      回复

                                      之前卡在call_user_func的参数传递上,折腾了半天。

                                      • 夜影孤灯
                                        夜影孤灯 0
                                        陕西省西安市 12F
                                        回复

                                        assert居然能这样用,长见识了。

                                        • 波斯香料
                                          波斯香料 0
                                          浙江省 13F
                                          回复

                                          这个后门藏得挺深,但文件名确实太显眼了。

                                            • 云端极光
                                              云端极光 1
                                              上海市浦东新区 B1
                                              回复

                                              @ 波斯香料 文件名一眼假,但代码藏得还行。

                                            • 春樱如雪
                                              春樱如雪 0
                                              印度尼西亚 14F
                                              回复

                                              感觉这题难度一般,就是考细心。

                                                • Lia星
                                                  Lia星 1
                                                  广东省 B1
                                                  回复

                                                  @ 春樱如雪 这题真就考眼力呗,差点漏看了。

                                                • yùhuá
                                                  yùhuá 1
                                                  黑龙江省伊春市 15F
                                                  回复

                                                  用REQUEST是不是为了兼容各种请求方式?

                                                  • 芳华岁月
                                                    芳华岁月 1
                                                    上海市 16F
                                                    回复

                                                    call_user_func这招真的防不胜防啊。

                                                    • 梅花三弄
                                                      梅花三弄 0
                                                      北京市 17F
                                                      回复

                                                      这题有点意思,assert回调玩得挺溜啊。

                                                        • 冷静的石头
                                                          冷静的石头 0
                                                          山东省烟台市 B1
                                                          回复

                                                          @ 梅花三弄 assert回调确实常见,但用REQUEST接收参数更少见一些。

                                                        • 夜香铃音
                                                          夜香铃音 1
                                                          河北省保定市 18F
                                                          回复

                                                          assert当密码也太直白了吧😂

                                                          • 憨厚熊猫仔
                                                            憨厚熊猫仔 1
                                                            澳大利亚 19F
                                                            回复

                                                            REQUEST是为了GET和POST都能用?

                                                            • 暗夜精灵王
                                                              暗夜精灵王 0
                                                              山东省淄博市 20F
                                                              回复

                                                              关报错能绕waf吗?有人试过没?

                                                                • 幻璃幽影
                                                                  幻璃幽影 0
                                                                  巴基斯坦 B1
                                                                  回复

                                                                  @ 暗夜精灵王 关报错感觉用处不大,现在WAF都挺智能了。

                                                                • 死亡颂唱者
                                                                  死亡颂唱者 1
                                                                  湖北省武汉市 21F
                                                                  回复

                                                                  之前搞渗透也碰到过类似的后门。

                                                                  • 机械魂
                                                                    机械魂 1
                                                                    宁夏银川市 22F
                                                                    回复

                                                                    代码高亮颜色可以调浅点。

                                                                    • VileApparition
                                                                      VileApparition 1
                                                                      福建省厦门市 23F
                                                                      回复

                                                                      这密码太直白了点

                                                                        • 枫少@KillBoy
                                                                          枫少@KillBoy
                                                                          宁夏银川市 B1
                                                                          回复

                                                                          @ VileApparition 故意设置成这样,让初学者容易上手~

                                                                        • 玉匠许三一
                                                                          玉匠许三一 1
                                                                          重庆市 24F
                                                                          回复

                                                                          assert回调玩得挺花啊。

                                                                            • 霓虹矩阵
                                                                              霓虹矩阵 0
                                                                              广东省江门市 B1
                                                                              回复

                                                                              @ 玉匠许三一 这回调写得确实骚,但assert早被WAF盯死了吧

                                                                            • 狼月夜歌者
                                                                              狼月夜歌者 0
                                                                              重庆市 25F
                                                                              回复

                                                                              密码直接叫assert?出题人懒到家了😂

                                                                                • 琥珀中的闪电
                                                                                  琥珀中的闪电 0
                                                                                  湖北省宜昌市 B1
                                                                                  回复

                                                                                  @ 狼月夜歌者 懒是懒,但思路很直接啊。

                                                                                • 银月流光
                                                                                  银月流光 0
                                                                                  上海市 26F
                                                                                  回复

                                                                                  之前渗透测试真见过这种,文件名起成Error.php更难发现

                                                                                  • 月照伊
                                                                                    月照伊 0
                                                                                    马来西亚 27F
                                                                                    回复

                                                                                    关error_reporting有用?现在WAF都看行为不看报错的

                                                                                    • 旧吉他
                                                                                      旧吉他 0
                                                                                      吉林省松原市 28F
                                                                                      回复

                                                                                      Exception.php这名字也太假了,正常项目谁这么命名

                                                                                      • 天命杀神
                                                                                        天命杀神 0
                                                                                        河南省郑州市 29F
                                                                                        回复

                                                                                        求问下,这种写法在PHP8还能跑吗?

                                                                                        • 会隐身的苹果
                                                                                          会隐身的苹果 0
                                                                                          北京市 30F
                                                                                          回复

                                                                                          图片配色真的辣眼睛,深色主题不香吗

                                                                                          • ZeusThunder
                                                                                            ZeusThunder 0
                                                                                            安徽省芜湖市 31F
                                                                                            回复

                                                                                            assert当函数调用居然没被禁,环境配置太松了吧

                                                                                            • 记忆迷宫向导
                                                                                              记忆迷宫向导 0
                                                                                              北京市 32F
                                                                                              回复

                                                                                              这种后门现在还能用吗?

                                                                                              • 梦回星穹
                                                                                                梦回星穹 1
                                                                                                日本 33F
                                                                                                回复

                                                                                                之前遇到过类似套路,差点没发现。

                                                                                                • 露珠晃晃
                                                                                                  露珠晃晃 0
                                                                                                  四川省德阳市 34F
                                                                                                  回复

                                                                                                  图片看着眼睛花,能不能换种代码配色?

                                                                                                  • 妖瞳术士
                                                                                                    妖瞳术士 1
                                                                                                    韩国 35F
                                                                                                    回复

                                                                                                    有谁能讲讲call_user_func的具体用法吗?

                                                                                                    • 海底捞无骨
                                                                                                      海底捞无骨 0
                                                                                                      湖南省长沙市 36F
                                                                                                      回复

                                                                                                      这个Exception.php名字,一看就是来搞笑的。

                                                                                                      • 飞羽客
                                                                                                        飞羽客 0
                                                                                                        上海市 37F
                                                                                                        回复

                                                                                                        为啥用REQUEST不用POST,有啥讲究不?

                                                                                                        • 玄冰刀皇
                                                                                                          玄冰刀皇 0
                                                                                                          浙江省嘉兴市 38F
                                                                                                          回复

                                                                                                          试了下,环境关了assert的话是不是就废了?

                                                                                                          • 银针清梦
                                                                                                            银针清梦 0
                                                                                                            浙江省 39F
                                                                                                            回复

                                                                                                            这题真就考眼力呗,文件名太打眼了。

                                                                                                            • 怪谈师
                                                                                                              怪谈师 0
                                                                                                              四川省绵阳市 40F
                                                                                                              回复

                                                                                                              感觉代码配色有点暗,看不太清。

                                                                                                              • 铁马冰河
                                                                                                                铁马冰河 0
                                                                                                                韩国 41F
                                                                                                                回复

                                                                                                                assert回调这玩法确实有点意思。

                                                                                                                • 行踪迷离
                                                                                                                  行踪迷离 0
                                                                                                                  韩国 42F
                                                                                                                  回复

                                                                                                                  这种分析对新手挺友好的,步骤清楚。

                                                                                                                  • 月光下的猫
                                                                                                                    月光下的猫 1
                                                                                                                    云南省红河州 43F
                                                                                                                    回复

                                                                                                                    看完了,感觉自己又行了。

                                                                                                                  匿名

                                                                                                                  发表评论

                                                                                                                  匿名网友

                                                                                                                  拖动滑块以完成验证