温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

php木马的示例分析

发布时间:2021-11-12 11:14:45 来源:亿速云 阅读:163 作者:小新 栏目:网络管理

这篇文章主要为大家展示了“php木马的示例分析”,内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让小编带领大家一起研究并学习一下“php木马的示例分析”这篇文章吧。

之前在应急中发现了一个5678.php后门程序,后来在发到论坛上,有朋友提醒说该后门还带有后门,于是速速拆开看看。分析该木马,发现存在css_font函数,具体代码如下:

php木马的示例分析

输出rawtargetu如下

php木马的示例分析

fontcolor主要组成如下:后门访问路径url+后门密码,首先经过了base64编码,获取值如下:MTkyLjE2O**xNTMuMTMzL3hzcy5waHB8MTIz,接着利用str_replace函数将编码参数中的a替换为@,在继续将参数中的=替换为?,然后在进行base64编码,根据此规律最终解码函数如下:

$jiema=base64_decode(str_replace('?','=',str_replace('@','a',base64_decode('TVRreUxqRTJPQzR4TlRNdU1UTXpMM2h7Y3k1d0BIQjhNVEl6'))));

输出解码结果如下:

php木马的示例分析

很显然,向http://s.qsmyy.com/logo.css?传递的主要内容为后门的访问地址和访问密码,只需要在后门服务器上搭建个web服务,定时去查看日志就可以了,正所谓鹬蚌相争,渔翁得利。

把后门地址修改为本地搭建的web服务器进行测试,可成功接收到相关日志。

php木马的示例分析

将接收到的信息进行解码,可成功获取后门访问地址以及密码信息。php木马的示例分析

 接下来看看该后门有没有什么网络行为,在不进行源码分析的情况能不能被发现,先利用burp抓浏览器包,此时观察web日志,已经接收到相关数据php木马的示例分析

但是burp抓取的数据包中却什么也看不到php木马的示例分析

尝试利用wireshark抓包查看,通过过滤发现后门链接的迹象php木马的示例分析

Follow一下,可追踪到该后门链接php木马的示例分析

顺便查了下黑吃黑的相关资料,这还是很普遍的,尤其是免费的一些工具、木马,菜刀工具之前就出现过一个有后门的版本,所以在拿到一个shell或是新工具还是很有必要对其进行分析的,免得我们成为他人的黑手。

以上是“php木马的示例分析”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注亿速云行业资讯频道!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

php
AI