分析一下手里的一个php大马,网上找的
源码是这样的
登陆后界面还是比较屌的
直接上echo 打印出这些关键变量
代码如下
输出后发现一个http的地址,还有一个危险函数file_get_contents
官方的文档如下
再继续看原来的代码
再次打印出变量e和d的值
这里的思路已经明朗了,它这里会请求链接的gif图片,然后通过file_get_contents函数将内容赋值给$_SESSION[‘PhpCode’]
通过迅雷下载gif图片,文件内容是如下乱码
继续查看原代码
打印变量a的值
gzinflate是解压函数,将代码解压出来打印
接着分析得到的php代码,在2380行找到一串字符
base64解密得到一个地址
分析变量url,总共含 变量,copyurl为上面的url地址,再定位其他两个变量
分别为开始的常量shell地址和密码字段
大马的后门就找到了。。。
本文始发于微信公众号(瓜神学习网络安全):某php大马后门分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论