java大马后门_PHP大马后门分析
PHP大馬后門分析
PHP大馬
PHP大馬,用php寫的木馬文件,一般自帶提權(quán),操作數(shù)據(jù)庫(kù),反彈shell,文件下載,端口掃描等功能。網(wǎng)上很多地方都能下載到這些木馬,但是大部門大馬都會(huì)自帶有后門,也就是當(dāng)你上傳木馬到別人的服務(wù)器上的時(shí)候,該大馬的制作者同樣會(huì)通過(guò)后門獲得服務(wù)器的權(quán)限。今天就來(lái)分析一波該大馬中的后門。
分析大馬文件
打開下載的php大馬,可以看出該大馬是經(jīng)過(guò)加密了的。
解密一下,如下圖步驟
解密出來(lái)的代碼,代碼太長(zhǎng)就不全部貼出來(lái)了。可以看到框框的內(nèi)容應(yīng)該就是木馬中的后門地址了,但是也是經(jīng)過(guò)加密的。猜測(cè)應(yīng)該是從遠(yuǎn)程服務(wù)器訪問到這個(gè)代碼。
繼續(xù)解密框框中的加密代碼,先解密第一段中的URL。
解密出來(lái)的結(jié)果如下圖
再繼續(xù)解密第二段
解密出來(lái)的結(jié)果如下圖,這是個(gè)混淆,先不管,訪問下第一個(gè)解密出來(lái)的鏈接。
訪問是張gif圖片,看不出什么內(nèi)容。把它下載下來(lái),再打開。頭疼,又是一大段加密內(nèi)容。
這里只能用解密的腳本來(lái)解密。解密過(guò)后的代碼如下圖。可以看到在圖中標(biāo)注的框框出應(yīng)該就是制作者定義的變量postpass指向某個(gè)鏈接了。
api接口代碼
再繼續(xù)解密這個(gè)api接口地址。
解密結(jié)果如下圖
該地址訪問不了,做了限制,應(yīng)該就是制作者的箱子地址了。
從代碼分析來(lái)看,當(dāng)用這個(gè)php大馬拿到webshell的時(shí)候,制作該木馬的作者就會(huì)通過(guò)上面的地址訪問你getshell的服務(wù)器,然后就變成別人的肉雞了。
分析修改
后面就修改了下這個(gè)大馬,把后門去除了。所以建議用大馬的時(shí)候,別用網(wǎng)上公布的那種,最好自己寫。
喜歡 (5)or分享 (0)
總結(jié)
以上是生活随笔為你收集整理的java大马后门_PHP大马后门分析的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Camera2打开相机,建立会话,并监听
- 下一篇: php上传后门,PHP图片后门藏匿攻略