php大马分析

hackerbob · 发表于 2022-4-23 15:52

本帖最后由 hackerbob 于 2022-4-24 10:49 编辑

前言

此样本来源于：https://www.52pojie.cn/thread-1605321-1-1.html
这是我第一次分析，如果有误，请见谅
代码解释我写在图片上了

基本信息

样本名称
ac40dd370da655a49f3a1bb5055d6d7c92d1ae83bb9ec22b336a8a4301389131-1650698200
样本类型
PHP script, UTF-8 Unicode text, with very long lines, with CRLF line terminators
样本大小
66833
MD5
7ab1d9920958c35dc39b5e31ac1977b1
SHA1
8be2245992597a0734598f94be53927b8e6fa190
SHA256
ac40dd370da655a49f3a1bb5055d6d7c92d1ae83bb9ec22b336a8a4301389131
SSDeep
1536:OwUo+ZWXUq/qq1te+OZgNoL8QJfQYxUg1PryWC9a:OC+ZWXQ+OZgNMdxUg1PryWC9a

代码分析

运行大马

解决方案

还能咋解决？又不能传染，直接把php文件删了！！

最完美的解决方案

此大马不兼容新版本的php，我是用php5运行起来的
请勿用于非法用途

hackerbob · 发表于 2022-4-23 16:15

本帖最后由 hackerbob 于 2022-4-23 21:03 编辑

lizf2019 发表于 2022-4-23 15:59
请问楼主大马和小马是什么区别

大马功能齐全，甚至可以控制整个网站，但体积很大，如果网站对上传的大小和后缀有限制，那么就无法上传，于是小马就诞生了，小马的作用就是为了上传大马，功能通常只有文件上传，还可以把一句话木马嵌入图片中，制成图片马，通过工具远程连接
典型的一句话木马

[PHP] 纯文本查看 复制代码

1	`<?php` `eval` `($_POST["pass"]); ?>`

用eval函数运行提交的字符串，$_POST["pass"]用来读取表单pass项的数据

lizf2019 · 发表于 2022-4-23 15:59

请问楼主大马和小马是什么区别

xglys · 发表于 2022-4-23 16:12

BUCUO 不错啊啊 ~~~~

一只小木木 · 发表于 2022-4-23 17:26

提示: 作者被禁止或删除内容自动屏蔽

a485537 · 发表于 2022-4-23 19:11

谢谢大佬

zhaiker521 · 发表于 2022-4-23 20:17

还是中国菜刀好用一句话一句话变种一句话加密变种

chinasmu · 发表于 2022-4-23 20:45

hackerbob 发表于 2022-4-23 16:15
大马功能齐全，甚至可以控制整个网站，但体积很大，如果网站对上传的大小和后缀有限制，那么就无法上传， ...

请问什么是一句话小马，是哪句话

hackerbob · 发表于 2022-4-23 21:03

chinasmu 发表于 2022-4-23 20:45
请问什么是一句话小马，是哪句话

这句话：

[PHP] 纯文本查看 复制代码

1	`<?php` `eval` `($_POST["pass"]); ?>`

用eval函数运行提交的字符串，$_POST["pass"]用来读取表单pass项的数据

tony1990 · 发表于 2022-4-23 21:17

收藏了，原来应急搞得大马用了好久。

帐号		自动登录	找回密码
密码			注册[Register]

一只小木木一只小木木当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	一只小木木发表于 2022-4-23 17:26 提示: 作者被禁止或删除内容自动屏蔽
	如何快速判断一个文件是否为病毒！
	回复支持举报

[PC样本分析] php大马分析

前言