PHP大馬后門分析

PHP大馬

PHP大馬，用php寫的木馬文件，一般自帶提權，操作數據庫，反彈shell，文件下載，端口掃描等功能。網上很多地方都能下載到這些木馬，但是大部門大馬都會自帶有后門，也就是當你上傳木馬到別人的服務器上的時候，該大馬的制作者同樣會通過后門獲得服務器的權限。今天就來分析一波該大馬中的后門。

分析大馬文件

打開下載的php大馬，可以看出該大馬是經過加密了的。

解密一下，如下圖步驟

解密出來的代碼，代碼太長就不全部貼出來了。可以看到框框的內容應該就是木馬中的后門地址了，但是也是經過加密的。猜測應該是從遠程服務器訪問到這個代碼。

繼續解密框框中的加密代碼，先解密第一段中的URL。

解密出來的結果如下圖

再繼續解密第二段

解密出來的結果如下圖，這是個混淆，先不管，訪問下第一個解密出來的鏈接。

訪問是張gif圖片，看不出什么內容。把它下載下來，再打開。頭疼，又是一大段加密內容。

這里只能用解密的腳本來解密。解密過后的代碼如下圖。可以看到在圖中標注的框框出應該就是制作者定義的變量postpass指向某個鏈接了。

api接口代碼

再繼續解密這個api接口地址。

解密結果如下圖

該地址訪問不了，做了限制，應該就是制作者的箱子地址了。

從代碼分析來看，當用這個php大馬拿到webshell的時候，制作該木馬的作者就會通過上面的地址訪問你getshell的服務器，然后就變成別人的肉雞了。

分析修改

后面就修改了下這個大馬，把后門去除了。所以建議用大馬的時候，別用網上公布的那種，最好自己寫。

喜歡 (5)or分享 (0)

總結

以上是生活随笔為你收集整理的java大马后门_PHP大马后门分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。