黑帽SEO
免费发布泛目录 蜘蛛池 黑帽SEO工具

一次对大马的简单分析产生的深思

  以下文章来源于t00ls

  日常网络冲浪的时候接到任务,拿下目标服务器getshell了以后,发现了个奇怪的php文件,文件比较大,有200k,怀着好奇的心理,便访问了一下。

  

  不失所望,是个大马,本着好奇心下载了下来,尝试爆破,爆破成功

  

  功能还算是齐全,正打算收入囊中,一想到上次xxx事件,心有余悸。。

  查看代码

  

  代码有点长,就截了一部分,初步分析是做了混淆,尝试了一下手工恢复代码。

  $ryaMxM:”base64_decode”

  $efAshD:”substr”

  $FZYxAc:”n1zb/ma5\vt0i28-pxuqy*6lrkdg9_ehcswo4+f37j”

  $FrRIRN:”substr”

一次对大马的简单分析产生的深思

  $Hupkzx:”strtr”

  $AczAtj:”BDqcTwKYMAulnIEgW……”

  $EZxdGU:””kNWZwVoPSpjLsdK……”

  然后可知,将eval内的代码base64解密,解密后的代码(中间全是base64就没发出来,只截了首尾两部分)

  

  

  最后一行eval内得代码为:base64_decode(strstr( substr(a,104),substr(a,52,52),substr(a,0,52) ));

  跟着流程走,手工恢复了好久还是不能还原代码,有点烦了。

  因为是用户态的php加密,因此在解析器执行以前还是要还原代码的,于是….xdebug安排上!

  成功还原代码,还发现了有意思的一部分代码:

  

  将图中打码的地方base64解密一下

  

  我丢你老母,大马里原来加了一个后门

  ————————分割线——————————

  此次事件的感想:小弟不才,师傅们轻喷。。小弟可能还不会像论坛里的师傅大佬一样分析的很到位和明白,但是也希望同样和我是小白的同学在如今一定要有分析问题的能力,不要做一名简单的伸手党和白嫖党,这样才能更好地保护自己!

未经允许不得转载:黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程 » 一次对大马的简单分析产生的深思
分享到: 更多 (0)

黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程

不做韭菜坚决不做韭菜