php木馬的示例分析

這篇文章主要為大家展示了“php木馬的示例分析”，內(nèi)容簡(jiǎn)而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“php木馬的示例分析”這篇文章吧。

之前在應(yīng)急中發(fā)現(xiàn)了一個(gè)5678.php后門程序，后來(lái)在發(fā)到論壇上，有朋友提醒說(shuō)該后門還帶有后門，于是速速拆開(kāi)看看。分析該木馬，發(fā)現(xiàn)存在css_font函數(shù)，具體代碼如下：

輸出rawtargetu如下

fontcolor主要組成如下：后門訪問(wèn)路徑url+后門密碼，首先經(jīng)過(guò)了base64編碼，獲取值如下：MTkyLjE2O**xNTMuMTMzL3hzcy5waHB8MTIz，接著利用str_replace函數(shù)將編碼參數(shù)中的a替換為@，在繼續(xù)將參數(shù)中的=替換為?，然后在進(jìn)行base64編碼，根據(jù)此規(guī)律最終解碼函數(shù)如下：

$jiema=base64_decode(str_replace('?','=',str_replace('@','a',base64_decode('TVRreUxqRTJPQzR4TlRNdU1UTXpMM2h7Y3k1d0BIQjhNVEl6'))));

輸出解碼結(jié)果如下：

很顯然，向http://s.qsmyy.com/logo.css?傳遞的主要內(nèi)容為后門的訪問(wèn)地址和訪問(wèn)密碼，只需要在后門服務(wù)器上搭建個(gè)web服務(wù)，定時(shí)去查看日志就可以了，正所謂鷸蚌相爭(zhēng)，漁翁得利。

把后門地址修改為本地搭建的web服務(wù)器進(jìn)行測(cè)試，可成功接收到相關(guān)日志。

將接收到的信息進(jìn)行解碼，可成功獲取后門訪問(wèn)地址以及密碼信息。

 接下來(lái)看看該后門有沒(méi)有什么網(wǎng)絡(luò)行為，在不進(jìn)行源碼分析的情況能不能被發(fā)現(xiàn)，先利用burp抓瀏覽器包，此時(shí)觀察web日志，已經(jīng)接收到相關(guān)數(shù)據(jù)

但是burp抓取的數(shù)據(jù)包中卻什么也看不到

嘗試?yán)脀ireshark抓包查看，通過(guò)過(guò)濾發(fā)現(xiàn)后門鏈接的跡象

Follow一下，可追蹤到該后門鏈接

順便查了下黑吃黑的相關(guān)資料，這還是很普遍的，尤其是免費(fèi)的一些工具、木馬，菜刀工具之前就出現(xiàn)過(guò)一個(gè)有后門的版本，所以在拿到一個(gè)shell或是新工具還是很有必要對(duì)其進(jìn)行分析的，免得我們成為他人的黑手。

以上是“php木馬的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道！