分析一波一个图片php后门木马

Author： Abeim
发布时间：August 6, 2020
1069 views
2 comments
897 words
Categories：记录其他

今天在某社区下载了一份源码，由于自己有严重的被害妄想症，所以遍历了源代码
果不其然，在某一个路径下的N张图片下发现了php后门木马

随后复制到vscode，慢慢解密
简单格式化后就是这个样子

经过大概四层解密后就是这个样子

这个代码干了什么？

上报网站域名信息然后安装了可道云程序，对，没错就是那个网盘程序

通过这个网盘可以看到你网站的所有文件，想想都可怕

信息上报到哪里了?

把第二行的代码通过base64解密后得到一个url链接
http://web.xxxxxxx.cn/api/cBw8PE&u=
如果执行了这个代码那么u参数就是你网站域名了
打开这个链接，提示no，估计是没带数据的原因
带上链接后，直接返回空白页，估摸着是成功入库了
至于我为什么说入库，接着往下看

访问一级域名跳转到一个网站

唔，打扰了

Last modification：October 10, 2020

© Allow specification reprint

如果觉得我的文章对你有用，请随意赞赏

2 comments

知名的男孩 Edge 109.0.1518.78 Windows 10 中国河南平顶山
February 9th, 2023 at 06:44 pm

你是专业学编程的吗，感觉你比科班大学生学的都好哈哈哈，真的很喜欢你这个网站布局风格

Reply
1. Abeim 小米 17.2.52 Android 12 中国陕西西安
  February 9th, 2023 at 06:51 pm
  
  @知名的男孩
  
  然并卯，并不是专业的，只是兴趣爱好，博客程序是typehco，模板是handsome，感兴趣你也可以搭建一个
  
  Reply

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

Comment *

Private comment

Name *

🎲

Email *

Site *

jiang
厉害！骗子应得的
jiang
(๑•̀ㅁ•́ฅ)谢谢大佬提供的搜索隐藏qq的办法，很感谢
leaves
Placeholder
leaves
乐死了
yywxdgy
Placeholder

分析一波一个图片php后门木马

Abeim • 2020 年 08 月 06 日

<p><strong>今</strong>天在某社区下载了一份源码，由于自己有严重的被害妄想症，所以遍历了源代码<br>果不其然，在某一个路径下的N张图片下发现了php后门木马<br><img src="https://life.abeim.cn/usr/themes/handsome/assets/img/loading.svg" alt="abeim_2020-08-06_15-28-10.png" title="abeim_2020-08-06_15-28-10.png"style=""data-original="https://life.abeim.cn/usr/uploads/2020/08/2292110393.png"></p><p>随后复制到vscode，慢慢解密<br>简单格式化后就是这个样子<br><img src="https://life.abeim.cn/usr/themes/handsome/assets/img/loading.svg" alt="abeim_2020-08-06_15-35-10.png" title="abeim_2020-08-06_15-35-10.png"style=""data-original="https://life.abeim.cn/usr/uploads/2020/08/72532779.png"><br>经过大概四层解密后就是这个样子<br><img src="https://life.abeim.cn/usr/themes/handsome/assets/img/loading.svg" alt="abeim_2020-08-06_15-38-00.png" title="abeim_2020-08-06_15-38-00.png"style=""data-original="https://life.abeim.cn/usr/uploads/2020/08/715948811.png"></p><blockquote>这个代码干了什么？</blockquote><p>上报网站域名信息然后安装了可道云程序，对，没错就是那个网盘程序<br><img src="https://life.abeim.cn/usr/themes/handsome/assets/img/loading.svg" alt="abeim_2020-08-06_15-45-03.png" title="abeim_2020-08-06_15-45-03.png"style=""data-original="https://life.abeim.cn/usr/uploads/2020/08/2903721635.png"><br>通过这个网盘可以看到你网站的所有文件，想想都可怕</p><blockquote>信息上报到哪里了?</blockquote><p>把第二行的代码通过base64解密后得到一个url链接<br><strong><span class="external-link"><a class="no-external-link" href="http://web.xxxxxxx.cn/api/cBw8PE&u=" target="_blank"><i data-feather="external-link"></i>http://web.xxxxxxx.cn/api/cBw8PE&u=</a></span></strong><br>如果执行了这个代码那么u参数就是你网站域名了<br>打开这个链接，提示no，估计是没带数据的原因<br>带上链接后，直接返回空白页，估摸着是成功入库了<br>至于我为什么说入库，接着往下看</p><p>访问一级域名跳转到一个网站<br><img src="https://life.abeim.cn/usr/themes/handsome/assets/img/loading.svg" alt="abeim_2020-08-06_15-53-34.png" title="abeim_2020-08-06_15-53-34.png"style=""data-original="https://life.abeim.cn/usr/uploads/2020/08/1157672290.png"><br>唔，打扰了</p>