1. 找出靶机桌面上文件夹1中的文件RCEBackdoor.zip,使用静态反编译工具IDA对该压缩包中的程序进行分析,根据提示来分析目标文件,将包含恶意代码基址偏移的范围作为Flag值提交(提交形式:0x1000XXXX-0x1000XXXX)
打开php后门文件(php_xmlrpc.dll),进入ida32,shift+F12找到eval函数,跳到此地址
进入F5伪代码分析
关键的地方来了,如果v9的值大于unk_1000D66C的值,我一开始想为什么v9大于他就一定是偏移过后的呢??????
点击v9,再点击unk_1000D66C
嗯,两者之间好像有点联系。但自我感觉还是不足以判断就一定是,接下来是作者个人看法,可参考
嗯,这就