代码就不贴了,太占地方了。
谷歌搜索到的相关网站免脚本udf免杀支持从高版本mysql。
先留个位置,下午来了再写。
有点过于激动了,只是发现了作案的工具而已,而且其原理我现在也还没有弄明白,只能说是感叹一下那些写木马的人的能力,PHP只是工具,可是他们用这个工具造出了恶心别人的东西。
我不认为我在谷歌上搜索到的这个人的博客,就一定是在我服务器上挂木马的人。可是你分享的同时,你要告诉怎么预防,或者这个木马会造成什么样的危害。
要不是我下定了决心,弃ASP于不顾,我也不会发现这里的猫腻。
还是心没有静下来研究,这文件并没有隐藏,也没有放到很隐蔽的目录,就在根目录那样放着。
其实原服务器的文件和环境已经不存在了,我也不清楚到底是不是这个木马造成的以前的网站问题。我只知道,这个木马是有能力做到的。
有兴趣的去研究一下,这个木马的密文解密后的PHP代码我放在文末。
解密过程
并没有多么的高深,只要一直想办法打断点输出就可以了。
首先$PHP=Create_Function('',$filename);
这行代码中,$filename
指的就是前面拼接的大量的字符串。
好的,我就把它输出,有函数gzuncompress(base64_decode('密文'))
,直接输出这个,就得到了php源代码。
我在本机运行了一下。看看多么恐怖,本地所有磁盘全部都能看到。可以上传下载任何东西。可以批量扫描所有网站,并且批量挂木马。
登陆界面(密码在代码里)
根目录
Mysql
批量挂马/清马
执行Shell命令
执行PHP脚本
提权
系统信息
在线代理?
以下是解密的代码:
到百度云去看吧(链接: https://pan.baidu.com/s/1rxFvWusylZfoWXVLHUtg3w 提取码: 8af5)
我不知道怎么把这个文件挂到别人的服务器上,可能IIS有漏洞或者我的网站有程序有漏洞也说不定,总之我是受害者。
再次提醒,不要把这个当作作案工具去恶心别人。