搜索
    Hi~登录注册
    查看: 334|回复: 0
    收起左侧

    记对某猥琐的PHP木马后门的分析及爆菊

    [复制链接]

    28

    主题

    0

    精华

    34 小时

    在线时间

    密圈

    积分
    27
    发表于 2020-10-12 10:40:11 | 显示全部楼层 |阅读模式

    好久没发贴了,很想念大家。今天是2020年的10月11日,我怀着喜悦的心情与大家分享最近一次对PHP猥琐后门的分析/爆菊过程。

    没啥技术含量,大家看着玩就好。

    —————————————小明由于长期被父母蒙在鼓里,最后终于窒息而亡。——————————————

    最近遇到个文件,打开一看只有几行注释?看了下字节数却很大,横向进度条很长啊,通过web访问是空白,看上去应该是藏了后门了。

    ps:这种方式遇到粗心/没有经验的管理员可能混过去,但若使用win自带的记事本(需开启自动换行)则一览无余。

    QQ截图20201012103611.png

    实际上换行整理一下:

    QQ截图20201012103707.png

    用Notepad++自带的正则替换简单做了下格式处理。

    另外在下面的代码中发现了e v a l/r49557ec/( QQ截图20201012103906.png 还插了注释,这个小方法很有意思,测试了下函数与"("中间插注释确实不影响执行。 在进行替换/整理/和谐部分变量名之后,得到如下完整后门代码(整理后代码):

    回复

    使用道具 举报

    游客
    回复
    您需要登录后才可以回帖 登录 | 获取账号

    快速回复 返回顶部 返回列表