php木马的示例分析

这篇文章主要为大家展示了“php木马的示例分析”，内容简而易懂，条理清晰，希望能够帮助大家解决疑惑，下面让小编带领大家一起研究并学习一下“php木马的示例分析”这篇文章吧。之前在应急中发现了一个5678.php后门程序，后来在发到论坛上，有朋友提醒说该后门还带有后门，于是速速拆开看看。分析该木马，发现存在css_font函数，具体代码如下：
输出rawtargetu如下
fontcolor主要组成如下：后门访问路径url+后门密码，首先经过了base64编码，获取值如下：MTkyLjE2O**xNTMuMTMzL3hzcy5waHB8MTIz，接着利用str_replace函数将编码参数中的a替换为@，在继续将参数中的=替换为?，然后在进行base64编码，根据此规律最终解码函数如下：$jiema=base64_decode(str_replace(‘?’,’=’,str_replace(‘@’,’a’,base64_decode(‘TVRreUxqRTJPQzR4TlRNdU1UTXpMM2h7Y3k1d0BIQjhNVEl6’))));输出解码结果如下：很显然，向http://s.qsmyy.com/logo.css?传递的主要内容为后门的访问地址和访问密码，只需要在后门服务器上搭建个web服务，定时去查看日志就可以了，正所谓鹬蚌相争，渔翁得利。把后门地址修改为本地搭建的web服务器进行测试，可成功接收到相关日志。将接收到的信息进行解码，可成功获取后门访问地址以及密码信息。接下来看看该后门有没有什么网络行为，在不进行源码分析的情况能不能被发现，先利用burp抓浏览器包，此时观察web日志，已经接收到相关数据但是burp抓取的数据包中却什么也看不到尝试利用wireshark抓包查看，通免费云主机域名过过滤发现后门链接的迹象Follow一下，可追踪到该后门链接顺便查了下黑吃黑的相关资料，这还是很普遍的，尤其是免费的一些工具、木马，菜刀工具之前就出现过一个有后门的版本，所以在拿到一个shell或是新工具还是很有必要对其进行分析的，免得我们成为他人的黑手。以上是“php木马的示例分析”这篇文章的所有内容，感谢各位的阅读！相信大家都有了一定的了解，希望分享的内容对大家有所帮助，如果还想学习更多知识，欢迎关注云编程开发博客行业资讯频道！

相关推荐: ubuntu 14.04编译安装openvas 8

去年在centos 6.4上面yum装了openvas,结果扫描的时候，客户端经常挂掉，囧。openvas对centos的支持很不好，在centos 6.4重新yum又安装不上了，编译也是各种依赖需要export。终于还是放弃了centos 6.4，在ubun…