phpstudy后门分析

释放双眼,带上耳机,听听看~!

_xmlrpc.dll中的问题,看到zend_eval_string是自定义函数sub_100031F0

图片1.png

跟到sub_100031F0函数去看,发起的HTTP数据包中包含“Accept-Encoding“字段,就走到攻击者的流程中去了

图片2.png

再往下走,就走到当Accept-Encoding信息为“compress,gzip”时,他就往左走,当Accept-charset字段出现就走右边

图片3.png

我们先看走左边的,Accept-Encoding信息为“compress,gzip” 就调用其他函数去收集系统信息

图片4.png

其他两个我看不懂,这个应该就是收集网卡信息

图片5.png

再然后他会拼接经过gzuncompress方法后var_4的东西来执行, var_4我也不知道哪里来的,左边先这样,因为作者写死,我们不可控

图片6.png

然后右边的流程,最终还是会和左边最后执行的地方走的流程一样

当出现Accept-charset时

图片7.png

F5伪C

图片8.png

跟进sub_100040B0

图片9.png

再跟

图片10.png

JS base64解密

图片11.png

利用:

图片12.png

人已赞赏
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧