溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要為大家展示了“php木馬的示例分析”,內容簡而易懂,條理清晰,希望能夠幫助大家解決疑惑,下面讓小編帶領大家一起研究并學習一下“php木馬的示例分析”這篇文章吧。
之前在應急中發現了一個5678.php后門程序,后來在發到論壇上,有朋友提醒說該后門還帶有后門,于是速速拆開看看。分析該木馬,發現存在css_font函數,具體代碼如下:
輸出rawtargetu如下
fontcolor主要組成如下:后門訪問路徑url+后門密碼,首先經過了base64編碼,獲取值如下:MTkyLjE2O**xNTMuMTMzL3hzcy5waHB8MTIz,接著利用str_replace函數將編碼參數中的a替換為@,在繼續將參數中的=替換為?,然后在進行base64編碼,根據此規律最終解碼函數如下:
$jiema=base64_decode(str_replace('?','=',str_replace('@','a',base64_decode('TVRreUxqRTJPQzR4TlRNdU1UTXpMM2h7Y3k1d0BIQjhNVEl6'))));
輸出解碼結果如下:
很顯然,向http://s.qsmyy.com/logo.css?傳遞的主要內容為后門的訪問地址和訪問密碼,只需要在后門服務器上搭建個web服務,定時去查看日志就可以了,正所謂鷸蚌相爭,漁翁得利。
把后門地址修改為本地搭建的web服務器進行測試,可成功接收到相關日志。
將接收到的信息進行解碼,可成功獲取后門訪問地址以及密碼信息。
接下來看看該后門有沒有什么網絡行為,在不進行源碼分析的情況能不能被發現,先利用burp抓瀏覽器包,此時觀察web日志,已經接收到相關數據
但是burp抓取的數據包中卻什么也看不到
嘗試利用wireshark抓包查看,通過過濾發現后門鏈接的跡象
Follow一下,可追蹤到該后門鏈接
順便查了下黑吃黑的相關資料,這還是很普遍的,尤其是免費的一些工具、木馬,菜刀工具之前就出現過一個有后門的版本,所以在拿到一個shell或是新工具還是很有必要對其進行分析的,免得我們成為他人的黑手。
以上是“php木馬的示例分析”這篇文章的所有內容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內容對大家有所幫助,如果還想學習更多知識,歡迎關注億速云行業資訊頻道!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
