安基网 欢乐生肖 安全 Web安全 查看内容

「黑客技术」PHP大马后门分析

2020-1-5 12:27| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 用php写的木马文件,一般自带提权,操作数据库,反弹shell,文件下载,端口扫描等功能。网上很多地方都能下载到这些木马,但是大部门大马都会自带有后门,也就是当你上传木马到别人的服务器上的时候,该大马的制作者同样会通过后门获得服务器的权限。今天就来分析一波该大 ...


BY 马丁

一. PHP大马

PHP大马,用php写的木马文件,一般自带提权,操作数据库,反弹shell,文件下载,端口扫描等功能。网上很多地方都能下载到这些木马,但是大部门大马都会自带有后门,也就是当你上传木马到别人的服务器上的时候,该大马的制作者同样会通过后门获得服务器的权限。今天就来分析一波该大马中的后门。


二. 分析大马文件

1。 打开下载的php大马,可以看出该大马是经过加密了的。

2. 解密一下,如下图步骤

3。 解密出来的代码,代码太长就不全部贴出来了。可以看到框框的内容应该就是木马中的后门地址了,但是也是经过加密的。猜测应该是从远程服务器访问到这个代码。

4. 继续解密框框中的加密代码,先解密第一段中的URL。

解密出来的结果如下图

再继续解密第二段

解密出来的结果如下图,这是个混淆,先不管,访问下第一个解密出来的链接。

5。 访问是张gif图片,看不出什么内容。把它下载下来,再打开。头疼,又是一大段加密内容。

6。 这里只能用解密的脚本来解密。解密过后的代码如下图。可以看到在图中标注的框框出应该就是制作者定义的变量postpass指向某个链接了。

api接口代码


再继续解密这个api接口地址。

解密结果如下图

该地址访问不了,做了限制,应该就是制作者的箱子地址了。

7. 从代码分析来看,当用这个php大马拿到webshell的时候,制作该木马的作者就会通过上面的地址访问你getshell的服务器,然后就变成别人的肉鸡了。

三. 分析修改

后面就修改了下这个大马,把后门去除了。所以建议用大马的时候,别用网上公布的那种,最好自己写。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6777969006126039564/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

刚表态过的朋友 (1 人)

相关阅读

最新评论

 最新
返回顶部
秒速时时彩 快乐赛车 一分时时彩 德国时时彩 欢乐生肖 上海11选5走势 欢乐生肖 安徽快3走势 澳洲幸运8 吉林快3