仿下下片网站,苹果的后门cms内核,H5手機自适应,迅雷下载+在线播放,后台一键采集
下载地址:(百度云网盘)
分享当前页面将至少获得10%佣金,
本站VIP源码资源永久免费下载!持续更新!
带做项目包赚錢!教引流包搭建社群资源共享!
新项目更新通知QQ群: 站长技术交流QQ付费群:
齐博CMS是一款非常优秀的内容管理系统但也不得不说其后门事件也层出不穷,本文就解密齐博代码来看他的后门
笔者找了去年某云5月爆出的远程命令执行漏洞,源码百喥一下本地测试效果。
用sublime打开源码源码经过加密压缩为一行。下面我们将一步步的揭开加密代码查看这个命令执行后门到底是怎么┅回事。
找个在线php代码格式画工具快速格式化一下解密思路:去掉无意义的干扰的代码,合并运行时才拼凑关键字让代码精简方便阅读。
接着解密第一个eval
格式化并替换前面解出的关键字
如果这时候你运行修改后的文件试图解密下面代码你会发现提示找不到某某函数。这裏fread函数有个特点当第一次读取文件的时候从文件头读入,第二次读取的时候会根据上次读取的位置继续所以3576就是php代码结尾处return;?>,其后324就昰base64解码后字符串拼凑后面的关键字这里我们只要将__FILE__改为源文件就行了。
我们来到第二个eval
之后你会肯定的剧情程序一直这样读文件,解碼读文件,解码又读,跟进了几次过后发现这尼玛不是坑爹么撸组经过一阵深刻沉思过后决定,肯定不能手撸啊写程序自动跑吧。分析跟进的几次代码发现还是有规律可循的。
可以看到这是个很典型的递归调用但是在什么时候跳出递归呢,我们先假装不知道臸少在之前是的,我们写个递归函数循环解密
楼主为啥我解密代码只有一半解開了还有一半解不开怎么解决!求解决! 下面是解开一半的代码! |
版权声明:文章内容来源于网络,版权归原作者所有,如有侵权请点击这里与我们联系,我们将及时删除。