对于某个PHP大马的分析

最近在看一个PHP大马(http://webshell8.com/down/phpwebshell.zip),界面非常漂亮:

但是代码量却非常少:
不由得非常好奇它是如何用这么少的代码实现这么丰富的功能的。于是将它的html内容打印一下:
发现它的内容是gz压缩后再base64加密的:
于是反向执行一下,得到原始内容:

其中请求的url为:

用于替换的urlNew为:

404.gif看起来是一个图标,但其实是代码。

将内容读出来之后,base64解码在用gz解压缩:

拿到原始的webshell文件(文件大概2960行,所以不贴全部的代码,只看一下头几行以及行数。需要的可以自己用上面的还原代码将gif内容还原为PHP文件):
该php的内容需要读取之后,放在eval()函数里执行,类似于:

 

整体的流程为:

 

所以,域名:phpapi.info为恶意域名,上面的gif文件(http://phpapi.info/404.gif)不是普通的图片而是webshell代码。IOC:

文章分类:未分类.
转载声明:请注明 “转自绿盟科技博客”:.
文章收录:

发表评论