黑帽SEO
免费发布泛目录 蜘蛛池 黑帽SEO工具

php大马下载:【webshell分析】PHP大马分析

  今天通过WAF拦截到了一个有趣的PHP大马,随后简单进行了分析。

  一开始看到这段代码,还以为是变形的一句话木马,但通过本地执行发现功能挺强大的。

  执行效果,竟然是个大马:

  实际演示效果

  为什么这么短的代码会有如此强大的功能呢?不由得分析了。

  1、解密php大马下载:【webshell分析】PHP大马分析

  直接var_dump($html);发现这里用了PHP的gzinflate函数进行了压缩

  再次解压缩并Base64解码:

  发现原来是通过socket或curl远程读取服务器phpapi.info上的大马数据,有意思的一点是把大马数据保存在session中,而不是写到文件中,所以要根据代码查杀是不行的。只要服务器不清除session中的数据,大马就会一直存在。

  dump出seesion中的大马数据

未经允许不得转载:黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程 » php大马下载:【webshell分析】PHP大马分析
分享到: 更多 (0)

黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程

不做韭菜坚决不做韭菜