承认是个懒人,所以只能偶尔更新:)

偶遇WEBSHELL老套路

在某次应急响应中,根据客户的描述和分析,猜测入侵是通过WEB方面的,但在对源码各种webshell查杀竟然没查出来,都准备换个思路时,才发现个可疑的php文件,

《偶遇WEBSHELL老套路》

除了第一段会有不同外,第二段开始都是同类型,代码很长,就不贴上来了,

先看看第一段,file和eval这两个函数,很敏感啊,

把urldecode解出来,

原:

解:

看不出有什么奇怪的地方,那么在解下后面的base64,

原:

解:

非常有规律性,应该是用了多次代码混淆加密,

有印象以前看过这种类似,然后找了下,果然,是微盾的,妥妥的直接全解了,

本地试了试,执行错误,1009行,

《偶遇WEBSHELL老套路》

fsockopen函数的原因,我本地环境没开启,

那直接注释下这句,翻下密码,

《偶遇WEBSHELL老套路》

webshell无误,差点遗漏掉这个,主要是一句话的用多了,

一些老套路都差点忘记,赶紧做做笔记。

未解密和已解密的webshell:

本地下载

=================================================================

Ps:假期前遇到的,原本还有几个,结果假期后忘记了QAQ

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注