• 欢迎使用超级蜘蛛池,超百万蜘蛛与您共享,蜘蛛池引蜘蛛快速提高网站收录,收藏快捷键 CTRL + D

【黑客技术】PHP大马后门分析


网上很多地方都能下载到这些木马程序,但是大部门大马都会自带有后门,也就是当你上传木马到别人的服务器上的时候,该大马的制作者同样会通过后门获得服务器的权限。今天就来分析一波该大马中的后门。

【黑客技术】PHP大马后门分析

PHP大马,用php写的木马文件,一般自带提权,操作数据库,反弹shell,文件下载,端口扫描等功能。


【黑客技术】PHP大马后门分析


 下面开始分析大马文件

1. 打开下载的php大马,可以看出该大马是经过加密了的。

【黑客技术】PHP大马后门分析


2. 解密一下,如下图步骤

【黑客技术】PHP大马后门分析

【黑客技术】PHP大马后门分析


3. 解密出来的代码,代码太长就不全部贴出来了。

可以看到框框的内容应该就是木马中的后门地址了,但是也是经过加密的。猜测应该是从远程服务器访问到这个代码。

【黑客技术】PHP大马后门分析


4. 继续解密框框中的加密代码,先解密第一段中的URL。


【黑客技术】PHP大马后门分析



解密出来的结果如下图

【黑客技术】PHP大马后门分析


再继续解密第二段

【黑客技术】PHP大马后门分析


解密出来的结果如下图,这是个混淆,先不管,访问下第一个解密出来的链接。


【黑客技术】PHP大马后门分析


5. 访问是张gif图片,看不出什么内容。

把它下载下来,再打开。头疼,又是一大段加密内容。

【黑客技术】PHP大马后门分析



6. 这里只能用解密的脚本来解密。

解密过后的代码如下图。可以看到在图中标注的框框出应该就是制作者定义的变量postpass指向某个链接了。

【黑客技术】PHP大马后门分析


api接口代码


【黑客技术】PHP大马后门分析


再继续解密这个api接口地址。


【黑客技术】PHP大马后门分析


解密结果如下图

【黑客技术】PHP大马后门分析


该地址访问不了,做了限制,应该就是制作者的箱子地址了。

7. 从代码分析来看,

当用这个php大马拿到webshell的时候,制作该木马的作者就会通过上面的地址访问你getshell的服务器,然后就变成别人的肉鸡了。所以建议用大马的时候,别用网上公布的那种,最好自己写。

本文链接:http://www.cjzzc.com/article/675.html

评论专区

您的大名*
电子邮件*
个人网址 
评论内容 
验证码     

超级蜘蛛工具

  • 超级蜘蛛池引蜘蛛
  • 超级蜘蛛池_关键词快速排名系统_全网搜索引擎SEO优化平台
  • 百度收录查询-百度收录批量查询-百度站长工具-超级蜘蛛池
  • 域名IP地址批量查询_网站IP地址批量查询_超级蜘蛛工具_超级蜘蛛池
  • 超级外链发布工具_免费批量发布SEO外链_发外链工具_超级蜘蛛池
  • 网页蜘蛛模拟抓取测试工具_超级蜘蛛工具_超级蜘蛛池