日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

這篇文章主要為大家展示了“php木馬的示例分析”，內(nèi)容簡(jiǎn)而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“php木馬的示例分析”這篇文章吧。

創(chuàng)新互聯(lián)是一家專注于成都網(wǎng)站建設(shè)、成都做網(wǎng)站與策劃設(shè)計(jì),平邑網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)10余年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:平邑等地區(qū)。平邑做網(wǎng)站價(jià)格咨詢:028-86922220

之前在應(yīng)急中發(fā)現(xiàn)了一個(gè)5678.php后門程序，后來在發(fā)到論壇上，有朋友提醒說該后門還帶有后門，于是速速拆開看看。分析該木馬，發(fā)現(xiàn)存在css_font函數(shù)，具體代碼如下：

輸出rawtargetu如下

fontcolor主要組成如下：后門訪問路徑url+后門密碼，首先經(jīng)過了base64編碼，獲取值如下：MTkyLjE2O**xNTMuMTMzL3hzcy5waHB8MTIz，接著利用str_replace函數(shù)將編碼參數(shù)中的a替換為@，在繼續(xù)將參數(shù)中的=替換為?，然后在進(jìn)行base64編碼，根據(jù)此規(guī)律最終解碼函數(shù)如下：

$jiema=base64_decode(str_replace('?','=',str_replace('@','a',base64_decode('TVRreUxqRTJPQzR4TlRNdU1UTXpMM2h7Y3k1d0BIQjhNVEl6'))));

輸出解碼結(jié)果如下：

很顯然，向http://s.qsmyy.com/logo.css?傳遞的主要內(nèi)容為后門的訪問地址和訪問密碼，只需要在后門服務(wù)器上搭建個(gè)web服務(wù)，定時(shí)去查看日志就可以了，正所謂鷸蚌相爭(zhēng)，漁翁得利。

把后門地址修改為本地搭建的web服務(wù)器進(jìn)行測(cè)試，可成功接收到相關(guān)日志。

將接收到的信息進(jìn)行解碼，可成功獲取后門訪問地址以及密碼信息。

 接下來看看該后門有沒有什么網(wǎng)絡(luò)行為，在不進(jìn)行源碼分析的情況能不能被發(fā)現(xiàn)，先利用burp抓瀏覽器包，此時(shí)觀察web日志，已經(jīng)接收到相關(guān)數(shù)據(jù)

但是burp抓取的數(shù)據(jù)包中卻什么也看不到

嘗試?yán)脀ireshark抓包查看，通過過濾發(fā)現(xiàn)后門鏈接的跡象

Follow一下，可追蹤到該后門鏈接

順便查了下黑吃黑的相關(guān)資料，這還是很普遍的，尤其是免費(fèi)的一些工具、木馬，菜刀工具之前就出現(xiàn)過一個(gè)有后門的版本，所以在拿到一個(gè)shell或是新工具還是很有必要對(duì)其進(jìn)行分析的，免得我們成為他人的黑手。

以上是“php木馬的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

文章標(biāo)題：php木馬的示例分析
網(wǎng)站地址：http://www.dlmjj.cn/article/jspcoc.html