WebShell代码分析溯源(第6题)
难易程度:★★
题目类型:代码审计
使用工具:FireFox浏览器、菜刀、记事本
1.访问网页,下载网页源代码。
2.查看每个文件夹的源代码,发现在/Assets/upload中有可疑文件,php文件想冒充jpg。
3.打开文件,发现果然是一句话木马。
分析代码,了解到array_map属于回调函数。
base64_decode(
e
)
为
函
数
,
e)为函数,
e)为函数,arr就是$_POST[‘POST’]作为回调函数的参数。
e的参数必须是assert通过base64加密后的密文,才能形成一句话木马病毒。
所以assert通过base64加密后为YXNzZXJ0
4.知道参数和密码后,尝试菜刀连接
url为http://219.153.49.228:42137/www/Assets/upload/pic3.jpg.php?e=YXNzZXJ0
密码为POST
5.连接成功后,我们可以在html中找到key_e7e1a8.php。
6.打开文件就能获取key。