CN112115681A - 一种用于webshell的隐藏代码的方法及系统 - Google Patents

Abstract

本发明提供了一种用于webshell的隐藏代码的方法及系统，属于网络安全领域。本发明提供了一种用于webshell的隐藏代码的方法及系统，首先建立需要隐藏的字符与连续空格数的对应关系，需要隐藏的字符与连续空格数的对应关系为：将添加的连续空格字符串转换为十六进制的连续空格字符串；将十六进制的连续空格字符串转换为十进制的连续空格数，得到十进制的连续空格数；将十进制的连续空格数转换为十进制的连续空格数对应的ASCII码；获取所述ASCII码对应的被隐藏的字符。根据需要隐藏的字符确定连续空格数目，在代码的每一行最后添加连续空格数目个连续空格，实现对代码的隐藏。

Description

一种用于webshell的隐藏代码的方法及系统

技术领域

本发明涉及网络安全技术领域，尤其涉及一种用于webshell的隐藏代码的方法及系统。

背景技术

网络安全愈发重要，各地也积极响应国家的政策，加入了护网行动中扮演各自的身份，而不管是基本的网络安全亦或者是护网行动，攻击者与网络安全人员的对抗总是存在的，因此红蓝对抗的演练是必不可少的。因为只有知道敌人的进攻手段，我们才能更好的防守。红蓝对抗演练是一个长期的过程，攻击手段会不断的变换，不断的更新进步。防御的方法也要不断的改进，才能保证网络的安全。

对于红蓝对抗演练中的红队(攻击者)来说，攻入边界入口的web服务器(指被攻击者拿到权限的服务器)固然重要，而若要进行更加深入的进攻，比如内网渗透，那么对于边界的web服务器(指对外开放的隔离区的服务器)的权限维持就成了一个重点，所以如何在蓝队管理员的眼皮底下，留下一个能够隐藏自身关键代码的webshell也是红队在演练中必不可少的能力。

Webshell是web入侵的脚本攻击工具，简单的说来，webshell就是一个asp或php木马后门，是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境。黑客在入侵了一个网站后，常常将这些asp或php木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起，然后黑客就可以用web的方式，通过asp或php木马后门控制网站服务器，包括上传下载文件、查看数据库、执行任意程序命令等。如何实现隐藏自身关键代码，就成为红队的攻入并控制web服务器的重要手段。

中国专利申请文献CN110851799A，公开了一种PHP源代码加密方法，用于PHP源代码加密和解密保护。首先读取源文件，判断文件编码格式，将头信息和头信息长度作为附加头插入源代码首部，形成待加密字符串；将指定的设备信息进行格式化后作为加密密钥，再使用Base64编码方式进行编码，形成最终密文；在需要执行密文文件的PHP程序中，通过调用PHP扩展函数指定要运行的密文文件；在PHP扩展函数收到执行某个密文文件的请求后，首先判断该文件是否处于缓存列表中，如存在，则直接执行；如不存在，再执行上文所述解密步骤，解密后将源代码存入缓存列表。该方法对PHP源代码以特定方式生成加密密钥，再进行Base64编码，形成最终密文。该方法对PHP源代码按预设的规则进行代码整体加解密，实现了对代码的保护。无法在PHP文件中进行代码的隐藏。

中国专利申请文献CN107885704A，公开了一种文本信息隐藏方法及其系统，方法包括：将对应空格的BIG5编码与二进制中的一个基本算符进行关联；将对应空白的BIG5编码与二进制中的另一个基本算符进行关联；将待隐藏信息二进制化，得到对应的二进制序列；按序扫描载体文档的内容，得到载体文档中的空格字符；根据所述空格字符的位置顺序，依序将所述二进制序列中的基本算符与空格字符一一进行关联；将空格字符替换为与其对应的基本算符所对应的BIG5编码。该方法对待隐藏文本信息进行二进制转换，并将对应空格的BIG5编码与二进制中的一个基本算符进行关联；将对应空白的BIG5编码与二进制中的另一个基本算符进行关联，将文本信息隐藏为对应空白的BIG5编码和对应空格的BIG5编码，对应空格的BIG5编码为0x20；所述对应空白的BIG5编码为0x7F。该方法虽然可以隐藏文本信息，但是容易被发现是异常文本，无法用于在webshell中隐藏自身关键代码。

现有技术至少存在以下不足：

1.对整体代码进行加密，无法实现在webshell中隐藏自身关键代码。

2.对文本进行隐藏，但是容易被发现是异常文本，无法用于在webshell中隐藏自身关键代码。

发明内容

为解决现有技术中存在的技术问题，本发明提供了一种用于webshell的隐藏代码的方法及系统，首先建立需要隐藏的字符与连续空格数目的对应关系，需要隐藏的字符与连续空格数的对应关系为：将添加的连续空格字符串转换为十六进制的连续空格字符串；将十六进制的连续空格字符串转换为十进制的连续空格数，得到十进制的连续空格数；将十进制的连续空格数转换为十进制的连续空格数目对应的ASCII码；获取所述ASCII码对应的被隐藏的字符。根据需要隐藏的字符确定连续空格数，在代码的每一行最后添加连续空格数个连续空格，实现对代码的隐藏。

本发明提供了一种用于webshell的隐藏代码的方法，包括如下步骤：

隐藏代码步骤，

在PHP文件中添加用于隐藏代码的代码段；

将要隐藏的文本信息拆分成多个字符；

将拆分得到的各字符分别进行格式转换得到各字符对应的连续空格数；

在用于隐藏代码的代码段的每一行代码最后分别添加各字符对应的连续空格数个连续空格；

解隐藏代码步骤，

读取PHP文件中添加的用于隐藏代码的代码段；

利用正则表达式捕获空格以及离回车换行最近的文本形式的连续空格字符串；

对文本形式的连续空格字符串进行格式转换，获取被隐藏的字符；

根据获取的被隐藏的字符组成被隐藏的文本信息；

访问所述PHP文件，执行隐藏的文本信息内容。

优选地，需要添加的所述连续空格数根据需要隐藏的字符进行多种编码格式转换确定。

优选地，添加的连续空格数通过需要隐藏的字符进行如下格式转换确定：

根据需要隐藏的字符确定所述需要隐藏的字符对应的ASCII码；

将需要隐藏的字符对应的ASCII码转换为十进制的第一连续空格数；

将十进制的第一连续空格数转换为十六进制的连续空格字符串；

将获取到的十六进制的连续空格字符串转换为文本形式的连续空格字符串；

根据文本形式的连续空格字符串得到最终要添加的连续空格数。

优选地，被隐藏的字符由文本形式的连续空格字符串进行多种编码格式转换获取。

优选地，被隐藏的字符由文本形式的连续空格字符串进行如下格式转换获取：

将文本形式的连续空格字符串转换为十六进制的连续空格字符串；

将十六进制的连续空格字符串转换为十进制的连续空格数，得到十进制的第二连续空格数；

将十进制的第二连续空格数转换为十进制的第二连续空格数对应的ASCII码；

获取所述ASCII码对应的被隐藏的字符。

优选地，

隐藏代码时，按需要隐藏的文本信息中各字符的顺序在各行最后添加各字符对应的连续空格；

解隐藏代码时，按添加连续空格的行号获取被隐藏的字符，并按获取被隐藏字符的顺序组成被隐藏的文本信息。

优选地，当需要隐藏的文本信息字符数大于25时，

根据多出字符数，在隐藏代码段中随机添加多出字符数个空行，每个空行由需要隐藏的字符对应的连续空格数个连续空格当做一行；

或根据多出字符数，在隐藏代码段中对于多出字符，每个字符添加一行非攻击性业务代码，所述非攻击性业务代码与需要隐藏的字符相对应；

或在原有的PHP文件中插入隐藏代码，在原有的PHP文件中每一行的最后添加需要隐藏字符对应的连续空格。

本发明提供了一种用于webshell的隐藏代码的系统，包括：

隐藏代码编写模块，用于根据需要隐藏的字符串进行隐藏代码段编写，并完成连续空格的添加；

隐藏代码获取模块，用于获取隐藏代码，并获取各行的文本形式的连续空格字符串，并根据获取的各行的文本形式的连续空格字符串获取被隐藏的文本信息；

十六进制转换模块，用于根据输入的字符串格式，将文本形式的连续空格字符串转换为十六进制连续空格字符串，或将十六进制连续空格字符串转换为文本形式的连续空格字符串；

十进制转换模块，用于根据输入的字符串格式，将十六进制连续空格字符串转换为十进制连续空格数，或将十进制连续空格数转换为十六进制连续空格字符串；

ASCII码转换模块，用于根据输入的字符串格式，将十进制连续空格数转换为ASCII码，或将ASCII码转换为十进制连续空格数。

优选地，

隐藏代码获取模块，执行如下操作：

利用file读取PHP文件中添加的用于隐藏代码的代码段；

利用正则表达式，捕获空格以及离回车换行最近的文本形式的连续空格字符串；

根据获得的各行文本形式的连续空格字符串，按序完成连续空格字符串到字符的转换；

根据获取到的字符组成被隐藏的文本信息。

优选地，

隐藏代码编写模块，执行如下操作：

根据需要隐藏的字符串，按单个字符进行拆分；

根据拆分的单个字符，按序完成各单个字符到需要添加的连续空格数的转换；

创建隐藏代码段，并按序根据各单个字符对应的需要添加的连续空格数在每行代码最后添加连续空格。

与现有技术相对比，本发明的有益效果如下：

(1)本发明通过在每行代码最后添加数目与需要隐藏的字符一一对应的连续空格，在webshell中实现了自身代码的隐藏。

(2)本发明采用的连续空格数目与需隐藏字符的一一对应关系，通过十六进制、十进制和ASCII码的转换，转换方法复杂，不易被破解。

(3)本发明添加的空格在每行代码最后，不易被肉眼发现，隐藏代码的方法隐蔽，不易被发现。

附图说明

图1是本发明用于webshell的隐藏代码的方法流程图；

图2是本发明用于webshell的隐藏代码的系统框图；

图3是本发明实施例2中隐藏“system”中第一个字符“s”的实现示意图；

图4是本发明实施例2中隐藏“system”中第二个字符“y”的实现示意图；

图5是本发明实施例2中隐藏“system”中第三个字符“s”的实现示意图；

图6是本发明实施例2中隐藏“system”的实现示意图；

图7是本发明隐藏代码段在正常情况下的打开看到的示意图，肉眼看不出异常；

图8是本发明实施例1中解隐藏代码步骤中进行格式转换的代码实现；

图9是本发明实施例1中解隐藏代码步骤中获取PHP文件全部内容的代码实现；

图10是本发明实施例1中解隐藏代码的完整代码实现；

图11是本发明隐藏代码段的PHP文件访问结构，即运行了“system”命令。

其中，附图标记说明如下：

1-在隐藏代码添加的连续空格；2-添加的连续空格数。

具体实施方式

下面结合附图1-11，对本发明的具体实施方式作详细的说明。

本发明提供了一种用于webshell的隐藏代码的方法，包括如下步骤：

隐藏代码步骤，

在PHP文件中添加用于隐藏代码的代码段；

将要隐藏的文本信息拆分成多个字符；

将拆分得到的各字符分别进行格式转换得到各字符对应的连续空格数；

在用于隐藏代码的代码段的每一行代码最后分别添加各字符对应的连续空格数个连续空格；

解隐藏代码步骤，

读取PHP文件中添加的用于隐藏代码的代码段；

利用正则表达式捕获空格以及离回车换行最近的文本形式的连续空格字符串；

对文本形式的连续空格字符串进行格式转换，获取被隐藏的字符；

根据获取的被隐藏的字符组成被隐藏的文本信息；

访问所述PHP文件，执行隐藏的文本信息内容。

作为优选实施方式，需要添加的所述连续空格数根据需要隐藏的字符进行多种编码格式转换确定。

作为优选实施方式，添加的连续空格数通过需要隐藏的字符进行如下格式转换确定：

根据需要隐藏的字符确定所述需要隐藏的字符对应的ASCII码；

将需要隐藏的字符对应的ASCII码转换为十进制的第一连续空格数；

将十进制的第一连续空格数转换为十六进制的连续空格字符串；

将获取到的十六进制的连续空格字符串转换为文本形式的连续空格字符串；

根据文本形式的连续空格字符串得到最终要添加的连续空格数。

作为优选实施方式，被隐藏的字符由文本形式的连续空格字符串进行多种编码格式转换获取。

作为优选实施方式，被隐藏的字符由文本形式的连续空格字符串进行如下格式转换获取：

将文本形式的连续空格字符串转换为十六进制的连续空格字符串；

将十六进制的连续空格字符串转换为十进制的连续空格数，得到十进制的第二连续空格数；

将十进制的第二连续空格数转换为十进制的第二连续空格数对应的ASCII码；

获取所述ASCII码对应的被隐藏的字符。

作为优选实施方式，

隐藏代码时，按需要隐藏的文本信息中各字符的顺序在各行最后添加各字符对应的连续空格；

解隐藏代码时，按添加连续空格的行号获取被隐藏的字符，并按获取被隐藏字符的顺序组成被隐藏的文本信息。

作为优选实施方式，当需要隐藏的文本信息字符数大于25时，

根据多出字符数，在隐藏代码段中随机添加多出字符数个空行，每个空行由需要隐藏的字符对应的连续空格数个连续空格当做一行；

或根据多出字符数，在隐藏代码段中对于多出字符，每个字符添加一行非攻击性业务代码，所述非攻击性业务代码与需要隐藏的字符相对应；

或在原有的PHP文件中插入隐藏代码，在原有的PHP文件中每一行的最后添加需要隐藏字符对应的连续空格。

本发明提供了一种用于webshell的隐藏代码的系统，包括：

隐藏代码编写模块，用于根据需要隐藏的字符串进行隐藏代码段编写，并完成连续空格的添加；

隐藏代码获取模块，用于获取隐藏代码，并获取各行的文本形式的连续空格字符串，并根据获取的各行的文本形式的连续空格字符串获取被隐藏的文本信息；

十六进制转换模块，用于根据输入的字符串格式，将文本形式的连续空格字符串转换为十六进制连续空格字符串，或将十六进制连续空格字符串转换为文本形式的连续空格字符串；

十进制转换模块，用于根据输入的字符串格式，将十六进制连续空格字符串转换为十进制连续空格数，或将十进制连续空格数转换为十六进制连续空格字符串；

ASCII码转换模块，用于根据输入的字符串格式，将十进制连续空格数转换为ASCII码，或将ASCII码转换为十进制连续空格数。

作为优选实施方式，

隐藏代码获取模块，执行如下操作：

利用file读取PHP文件中添加的用于隐藏代码的代码段；

利用正则表达式，捕获空格以及离回车换行最近的文本形式的连续空格字符串；

根据获得的各行文本形式的连续空格字符串，按序完成连续空格字符串到字符的转换；

根据获取到的字符组成被隐藏的文本信息。

作为优选实施方式，

隐藏代码编写模块，执行如下操作：

根据需要隐藏的字符串，按单个字符进行拆分；

根据拆分的单个字符，按序完成各单个字符到需要添加的连续空格数的转换；

创建隐藏代码段，并按序根据各单个字符对应的需要添加的连续空格数在每行代码最后添加连续空格。

实施例1

下面以隐藏在PHP中的执行命令函数system为例，对本发明用于webshell的隐藏代码的方法进行说明。

如果直接在文件里加入PHP中的执行命令函数：system，那无疑是被管理员直接发现且删除；

那么需要隐藏“system”，在需要在文件中以隐藏代码的方式加入system这个函数时，那则需要获取system这个字符串的十进制的ASCII码；

根据ASCII码表的对应关系可知：

s的十进制ASCII码为：115；

y的十进制ASCII码为：121；

t的十进制ASCII码为：116；

e的十进制ASCII码为：101；

m的十进制ASCII码为：109；

那么即每一个字符对应一行代码，按行加上对应的ASCII码为十进制数目的连续空格；

对于s字符串：则有115个空格加上在第一行代码；如图3所示；

对于y字符串：则有121个空格加上在第二行代码；如图4所示；

对于第二个s字符串：则有121个空格加上在第三行代码；如图5所示；

如此类推，最终可以看到加了空格的代码有六行，分别对应system，如图6所示；

至此即用加入连续空格的方法来隐藏了system函数。

正常查看此文件，无任何异常代码，如图7所示。

实施例2

根据本发明的一个具体实施方案，对本发明用于webshell的隐藏代码的方法进行详细说明。

下面是解隐藏过程涉及到的函数getV()的编写，get()函数的操作为：通过正则匹配获取连续空格字符串，并将连续空格字符串进行转码，得到隐藏字符对应的ASCII码，如图8所示。

核心代码：

preg_match('/([\]+)\r？\n？$/',$result,$match)；//用于匹配\r,\n回车，换行时的连续空格字符串

dechex(substr_count($match[1],""))；//将substr_count获取到的连续空格字符串用dechex转换成十六进制字符串

hexdec($exp)；//将获取到的十六进制字符串用hexdec转换为十进制的连续空格的数目

chr($result)；//将十进制的连续空格的数目用chr转换成ASCII码

如图9所示，为获取PHP文件全部内容的函数；

$file＝file(__FILE__)；//获取PHP文件全部内容

其中的for循环用于按行获取file中的内容，同时将调用getV()函数，此时getV函数则会按行获取匹配获取连续空格字符串并进行转码；

If语句，当for循环中行号小于7的内容将赋值给变量，7即为需要隐藏的文本信息中字符的长度；如果需要隐藏的文本信息中字符长度大于7，则需要更改循环中的小于7为需要隐藏的文本信息中字符的长度；变量指的是隐藏代码段中的变量$exp

解隐藏的完整代码，如图10所示。

文件内容全文无危险函数，敏感函数，且与正常的PHP文件内容相似。

访问此PHP文件，即可执行system命令，结果如图11所示。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均包含在本发明的保护范围之内。

Claims (10)

1.一种用于webshell的隐藏代码的方法，其特征在于，包括如下步骤：

隐藏代码步骤，

在PHP文件中添加用于隐藏代码的代码段；

将要隐藏的文本信息拆分成多个字符；

将拆分得到的各字符分别进行格式转换得到各字符对应的连续空格数；

在用于隐藏代码的代码段的每一行代码最后，分别添加各字符对应的连续空格数个连续空格；

解隐藏代码步骤，

读取PHP文件中添加的用于隐藏代码的代码段；

利用正则表达式捕获空格以及离回车换行最近的文本形式的连续空格字符串；

对文本形式的连续空格字符串进行格式转换，获取被隐藏的字符；

根据获取的被隐藏的字符组成被隐藏的文本信息；

访问所述PHP文件，执行隐藏的文本信息内容。

2.根据权利要求1所述的用于webshell的隐藏代码的方法，其特征在于，需要添加的所述连续空格数根据需要隐藏的字符进行多种编码格式转换确定。

3.根据权利要求2所述的用于webshell的隐藏代码的方法，其特征在于，添加的连续空格数通过需要隐藏的字符进行如下格式转换确定：

根据需要隐藏的字符确定所述需要隐藏的字符对应的ASCII码；

将需要隐藏的字符对应的ASCII码转换为十进制的第一连续空格数；

将十进制的第一连续空格数转换为十六进制的连续空格字符串；

将获取到的十六进制的连续空格字符串转换为文本形式的连续空格字符串；

根据文本形式的连续空格字符串得到最终要添加的连续空格数。

4.根据权利要求3所述的用于webshell的隐藏代码的方法，其特征在于，被隐藏的字符由文本形式的连续空格字符串进行多种编码格式转换获取。

5.根据权利要求4所述的用于webshell的隐藏代码的方法，其特征在于，被隐藏的字符由文本形式的连续空格字符串进行如下格式转换获取：

将文本形式的连续空格字符串转换为十六进制的连续空格字符串；

将十六进制的连续空格字符串转换为十进制的连续空格数，得到十进制的第二连续空格数；

将十进制的第二连续空格数转换为十进制的第二连续空格数对应的ASCII码；

获取所述ASCII码对应的被隐藏的字符。

6.根据权利要求1所述的用于webshell的隐藏代码的方法，其特征在于：

隐藏代码时，按需要隐藏的文本信息中各字符的顺序在各行最后添加各字符对应的连续空格；

解隐藏代码时，按添加连续空格的行号获取被隐藏的字符，并按获取被隐藏字符的顺序组成被隐藏的文本信息。

7.根据权利要求1所述的用于webshell的隐藏代码的方法，其特征在于，当需要隐藏的文本信息字符数大于25时，

根据多出字符数，在隐藏代码段中随机添加多出字符数个空行，每个空行由需要隐藏的字符对应的连续空格数个连续空格当做一行；

或根据多出字符数，在隐藏代码段中对于多出字符，每个字符添加一行非攻击性业务代码，所述非攻击性业务代码与需要隐藏的字符相对应；

或在原有的PHP文件中插入隐藏代码，在原有的PHP文件中每一行的最后添加需要隐藏字符对应的连续空格。

8.一种用于webshell的隐藏代码的系统，其特征在于，包括：

隐藏代码编写模块，用于根据需要隐藏的字符串进行隐藏代码段编写，并完成连续空格的添加；

隐藏代码获取模块，用于获取隐藏代码，并获取各行的文本形式的连续空格字符串，并根据获取的各行的文本形式的连续空格字符串获取被隐藏的文本信息；

十六进制转换模块，用于根据输入的字符串格式，将文本形式的连续空格字符串转换为十六进制连续空格字符串，或将十六进制连续空格字符串转换为文本形式的连续空格字符串；

十进制转换模块，用于根据输入的字符串格式，将十六进制连续空格字符串转换为十进制连续空格数，或将十进制连续空格数转换为十六进制连续空格字符串；

ASCII码转换模块，用于根据输入的字符串格式，将十进制连续空格数转换为ASCII码，或将ASCII码转换为十进制连续空格数。

9.根据权利要求8所述的用于webshell的隐藏代码的系统，其特征在于，

隐藏代码获取模块，执行如下操作：

利用file读取PHP文件中添加的用于隐藏代码的代码段；

利用正则表达式，捕获空格以及离回车换行最近的文本形式的连续空格字符串；

根据获得的各行文本形式的连续空格字符串，按序完成连续空格字符串到字符的转换；

根据获取到的字符组成被隐藏的文本信息。

10.根据权利要求8所述的用于webshell的隐藏代码的系统，其特征在于，

隐藏代码编写模块，执行如下操作：

根据需要隐藏的字符串，按单个字符进行拆分；

根据拆分的单个字符，按序完成各单个字符到需要添加的连续空格数的转换；

创建隐藏代码段，并按序根据各单个字符对应的需要添加的连续空格数在每行代码最后添加连续空格。

Images