请选择 进入手机版 | 继续访问电脑版
  • 手机版

    扫码体验手机版

  • 微信公众号

    扫码关注公众号

游客您好
第三方账号登陆
  • 点击联系客服

    在线时间:8:00-16:00

    客服电话

    400-123-4567

    电子邮件

    admin@4x45.com
  • 星点互联APP

    随时掌握企业动态

  • 扫描二维码

    关注星点微信公众号

Lv.9 官方人员
2号会员,82活跃度,2020/09/09 加入学习
  • 40发帖
  • 40主题
  • 1关注
  • 5粉丝
这个人很懒,什么也没有留下。
  • 论坛元老

    为论坛做出突出贡献的会员
推荐课程更多
课堂交流更多

[PC样本分析] 分析一个常见的php大马并且解码过程

[复制链接]
民间小编 发表于 2020-10-6 04:09:52 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
木马样本下载地址
游客,如果您要查看本帖隐藏内容请回复


今天在逛群的时候,看到有人说服务器被中了马,截图看了一下,是一个php的大马。
看到用的是tp6框架,应该是被利用了远程执行的漏洞强行中了马。
d0e29120e784fba1c3fc2bca4872cd3.png
拿到了这个马我用编辑器打开了一下,果然是一句话,一个经过ROT-13编码的php大马。


1.png

看到了利用str_rot13对字符进行解码。那方法就来啦。


2.png




简单对文件修改一下。


3.png

这个马用到了pack(),意思就是函数把数据装入一个二进制字符串,
然后放入字符以字符的形式写出来。
流程应该没错。我就放到本地测试一下。
启动了php服务。
4.png
成功后
5.png
格式化一下
6.png
完整的代码就来了。


7.png

加上原来的文件头部分代码。
运行一下,检测了md5,这串md5不就是admin吗。
8.png
验证成功。进入了面板了。
9.png
感觉传这些马的人都闲的没事情做。

以上仅供经验分享,
木马样本文件,请勿上传到服务器上运行。测试请在本地测试。
点评回复

使用道具 举报

精彩评论3

事与愿违 发表于 2020-10-7 22:22:32 | 显示全部楼层
学习学习
点评回复

使用道具 举报

卿墨 发表于 2020-10-9 18:41:21 来自手机 | 显示全部楼层
向大佬学习
点评回复

使用道具 举报

事与愿违 发表于 2020-10-9 21:41:46 | 显示全部楼层
学习学习
点评回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

客服QQ:1403590444

24x7小时免费咨询

Powered by folk hacker Copyright © 2014-2021 民间安全 (原民间黑客联盟) ( 蒙ICP备20002614号 )