网上许多场所都能下载到这些木马程序,但是大部分大马都会自带有后门,也就是当你上传木马到别人的服务器上的时候,该大马的制作者同样会通过后门牟取服务器的权限。今日就来解析一波该大马中的后门。
PHP大马,用php写的木马文件,一般自带提权,操纵数据库,反弹shell,文件下载,端口扫描等性能。 1 打开下载的php大马,可以看出该大马是途经加密了的。 2 解密一下,如下图步骤 3 解密出来的代码,代码太长就不全体贴出来了。 可以看到框框的内容应该就是木马中的后门地址了,但是也是途经加密的。猜测应该是从远程服务器拜访到这个代码。 4 继续解密框框中的加密代码,先解密第一段中的URL。 解密出来的结局如下图 再继续解密第二段 解密出来的结局如下图,这是个混淆,先不管,拜访下第一个解密出来的链接。 5 拜访是张gif图片,看不出什么内容。 把它下载下来,再打开。头疼,又是一大段加密内容。 6 这里只能用解密的脚本来解密。 解密过后的代码如下图。可以看到在图中标注的框框出应该就是制作者定义的变量postpass指向某个链接了。 api接口代码 再继续解密这个api接口地址。 解密结局如下图 该地址拜访不了,做了限制,应该就是制作者的箱子地址了。 7 从代码解析来看, 当用这个php大马拿到ebshell的时候,制作该木马的作者就会通过上面的地址拜访你getshell的服务器,然后就变成别人的肉鸡了。所以建议用大马的时候,别用网上宣布的那种,最好自己写。
下面开端解析大马文件