一次对大马的简单分析产生的深思

作者:小俊 分类: 渗透测试 发布于:2020-10-3 21:29 ė153次浏览 60条评论

以下文章来源于t00ls


日常网络冲浪的时候接到任务,拿下目标服务器getshell了以后,发现了个奇怪的php文件,文件比较大,有200k,怀着好奇的心理,便访问了一下。


不失所望,是个大马,本着好奇心下载了下来,尝试爆破,爆破成功

功能还算是齐全,正打算收入囊中,一想到上次xxx事件,心有余悸。。
查看代码

代码有点长,就截了一部分,初步分析是做了混淆,尝试了一下手工恢复代码。
$ryaMxM:"base64_decode"
$efAshD:"substr"
$FZYxAc:"n1zb/ma5\vt0i28-pxuqy*6lrkdg9_ehcswo4+f37j"
$FrRIRN:"substr"
$Hupkzx:"strtr"
$AczAtj:"BDqcTwKYMAulnIEgW……"
$EZxdGU:""kNWZwVoPSpjLsdK……"
然后可知,将eval内的代码base64解密,解密后的代码(中间全是base64就没发出来,只截了首尾两部分)


最后一行eval内得代码为:base64_decode(strstr( substr(a,104),substr(a,52,52),substr(a,0,52) ));
跟着流程走,手工恢复了好久还是不能还原代码,有点烦了。
因为是用户态的php加密,因此在解析器执行以前还是要还原代码的,于是....xdebug安排上!
成功还原代码,还发现了有意思的一部分代码:

将图中打码的地方base64解密一下

我丢你老母,大马里原来加了一个后门
————————分割线——————————
此次事件的感想:小弟不才,师傅们轻喷。。小弟可能还不会像论坛里的师傅大佬一样分析的很到位和明白,但是也希望同样和我是小白的同学在如今一定要有分析问题的能力,不要做一名简单的伸手党和白嫖党,这样才能更好地保护自己!

本文出自 小俊博客,转载时请注明出处及相应链接。

0

发表评论

电子邮件地址不会被公开。必填项已用*标注


Ɣ回顶部