IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> 我和webshell的不解之缘之webshell再解密 -> 正文阅读

[PHP知识库]我和webshell的不解之缘之webshell再解密

解密2021年新型webshell

先讲一下拿到webshell的过程哈

事件的起因是酱紫的

之前和我玩CrossFire(CF)的一个朋友,前几天突然找到我,问怎么查询网站是不是真的
在这里插入图片描述
然后他解释说他想考一级消防工程师证,因为种种原因自己考不了,所以就找到了一家教育机构

那家机构就是假站的官方指定报名机构

他当时一听就感觉有问题,然后打电话到中国人事考试网咨询,了解到根本没有什么官方指定报名机构
在这里插入图片描述
然后我一搜索,就发现是假的了,也是急忙制止了我的这位好哥们
在这里插入图片描述
当然,这里可以忽视哈,我嘛,肯定是非常直的啦

接下来我便对假站开始了渗透之旅
在这里插入图片描述
再说下去就要跑题了,哈哈,至于入侵假站的过程,请听下回分解。

反正我几经波折,我终于拿到了那个假站的webshell

上去一看,哟呵,居然有人在2021-06-13就已经通过和我一样的入侵方式拿到了webshell,并且还明目张胆的放在根目录(我是没那么大胆)

于是,我便把这webshell拿来玩了一下,结果居然发现里面功能还挺多的,感觉还不错
在这里插入图片描述
但是打开代码一看,里面的乱码字符看得我头疼
在这里插入图片描述
在这里插入图片描述
是不是一眼就看到了str_rot13函数,我也是,但发现rot13解不开

于是我便转战pack()函数,俺不懂PHP,咋办捏

当然是打开万能的百度啦,家中常用,嘿嘿
在这里插入图片描述
这不就明白了,然而,有什么卵用呢

不管了,直接把这几行搞懂了,那么我们不要它执行,我们要他输出

把后两排删掉,直接上echo $uri; 开启Debug
在这里插入图片描述
结果,输出了个这么个鬼玩意

那咱肯定不服啊,建立个1.php文件,把这内容搞里头
在这里插入图片描述
尾部没有任何函数,就顶部有关键函数

我尝试过解密gzuncompress(base64_decode()),然并卵

那继续使用输出思路,看到就是这个eval在执行全局,那咱再来一波echo
在这里插入图片描述
VS Code抽风,咱们浏览器来当Debug哈

怎么样,看到这一串是不是头都大了

复制下来,继续建2.php呗

在这里插入图片描述
看到这个,是不是头更大了,我忍住了想关电脑睡觉的冲动,给他格式化并注释一下
在这里插入图片描述
舒服多了不是,但玩归玩,闹归闹,他还继续跟我开玩笑

在这里插入图片描述
去掉那些杂七杂八混淆视听的函数,那不就又回到1.php的开头了嘛

echo(gzuncompress(base64_decode("$data")));

那咱直接把1.php复制成3.php,直接替换里面的密文不就是了
在这里插入图片描述
Ctrl+C,打开浏览器看看结果
在这里插入图片描述
明人不恰暗shi,我想刀了他

这些函数的密文我都懒得解了,跟2.php一样的,直接替换密文做4.php吧

您猜怎么着,报错了,那肯定是哪里没对
在这里插入图片描述
既然开始报错了,那咱还得继续研究3.php echo出来的结果

然后发现,这密文就是base64加密的结果,我直接base64解密不就行了

但是,啊,但是,我去网站(base64.us)解密,然后复制回来,发现还是继续报错
在这里插入图片描述
base64.us就是这点不好,容易搞出编码问题来

那我就自己写个base64解密的php吧,现在已经来到了5.php
在这里插入图片描述
把3.php做出来的结果的密文搞里头,然后浏览器调试结果
在这里插入图片描述
捏麻麻滴,这什么鬼,直接给我执行HTML代码了,并且还给我中文乱码了是吧

那咱直接查看一波源代码,顺便把查看编码改成GBK
在这里插入图片描述
芜湖,这不就来了

然后上6.php,书写终章
在这里插入图片描述

这里的报错可以忽略不计了,几乎都是里面需要中文字符才提示报错的,并且头部已经关闭报错输出了

值得注意的是,图中的两个地方

1.源代码里面看见$password是被注释的,我们需要去掉

2.还记得之前的乱码问题么,那是因为他这里设定的是强制gbk编码(源代码里可见),咱们直接改成UTF-8

保存,调试终章
在这里插入图片描述
OK,完美谢幕

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-04-22 18:16:01  更:2022-04-22 18:16:40 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/26 4:12:01-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计