目录
## 黑客留下的文件
已知新型的php一句话木马如果接收到pass参数,则会生成16位的随机秘钥,存储到session中,返回的内容是AES的密钥。
2、用Wireshark打开后,首先看其http流量,发现主要对shell.jsp和.index.php页面进行了请求。
3、通过查看http流量包发现GET /public/.index.php?pass=531和pass632符合新型的木马是随机生产的16位随机密钥。
通过传参pass=531 返回的PHPSESSID=0megcpp047qi2q4357p8ne8ld6 内容是"777ad23134150e3c"
pass=632返回的PHPSESSID=gl5g303u0a6qi7483oqiucnbb0 内容是"ad8d0732eaa9f749"
通过查询两个PHPSESSID的值发现后面基本是PHPSESSID=gl5g303u0a6qi7483oqiucnbb0,所以猜测pass为692。
4、然后导出所有的HTTP文件发现大部分是.index.php的文件
5、导出之后的.index.php使用PHP脚本进行循环遍历,通过查看发现shell.php没啥有用的内容,有用的基本都在.index.php中,通过脚本去遍历输出.index.php解密的内容,脚本如下:
<?php
$key = 'ad8d0732eaa9f749';
for($i=0;$i<=13;$i++){
$temp = file_get_contents('./.index('.$i.').php');
$temp=openssl_decrypt($temp, "AES128", $key);
echo $temp;
$arr=explode('|',$temp);
$func=$arr[0];
$params=$arr[1];
$params = preg_replace('/eval/', 'echo', $params);
eval($params);
}
?>
6、查看源码view-source:http://localhost/bx/pass_all.php
浏览查看到关键信息cat *.txt内容。返回包数据包含status和msg,status返回success,msg包括内容
通过查找有用信息得到执行ls和cat Wh@7_1s_Th15.txt
Wh@7_1s_Th15.txt css favicon.ico index.php js robots.txt svg web.config
{"status":"c3VjY2Vzcw==","msg":"ZmxhZ3tmYjk0OGQ4ZTMyNWZlM2Q5MGQz