请选择 进入手机版 | 继续访问电脑版

[PC样本分析] 分析一个常见的php大马并且解码过程

病毒分析 病毒分析 1732 人阅读 | 3 人回复

发表于 2020-10-6 04:09:52 | 显示全部楼层 |阅读模式

木马样本下载地址
游客,如果您要查看本帖隐藏内容请回复


今天在逛群的时候,看到有人说服务器被中了马,截图看了一下,是一个php的大马。
看到用的是tp6框架,应该是被利用了远程执行的漏洞强行中了马。
d0e29120e784fba1c3fc2bca4872cd3.png

拿到了这个马我用编辑器打开了一下,果然是一句话,一个经过ROT-13编码的php大马。


1.png


看到了利用str_rot13对字符进行解码。那方法就来啦。


2.png





简单对文件修改一下。


3.png


这个马用到了pack(),意思就是函数把数据装入一个二进制字符串,
然后放入字符以字符的形式写出来。
流程应该没错。我就放到本地测试一下。
启动了php服务。
4.png

成功后
5.png

格式化一下
6.png

完整的代码就来了。


7.png


加上原来的文件头部分代码。
运行一下,检测了md5,这串md5不就是admin吗。
8.png

验证成功。进入了面板了。
9.png

感觉传这些马的人都闲的没事情做。

以上仅供经验分享,
木马样本文件,请勿上传到服务器上运行。测试请在本地测试。
点评回复

使用道具 举报

回答|共 3 个

事与愿违

发表于 2020-10-7 22:22:32 | 显示全部楼层

学习学习
点评回复

使用道具 举报

卿墨

发表于 2020-10-9 18:41:21 来自手机 | 显示全部楼层

向大佬学习
点评回复

使用道具 举报

事与愿违

发表于 2020-10-9 21:41:46 | 显示全部楼层

学习学习
点评回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则