查shell想到的新型隐藏木马思路

今天有个朋友说他的站有异常,叫我帮看看,齐博的整站。查了下webshell,找到了2条。其中有一条藏得比较奇葩,至少是我没见过的方式,孤陋寡闻吧,可惜用了eval(),高风险关键字啊~

1、混入正常文件中,并把正常文件一起base64掉:

解出来关键的地方是这样:

2、一句话。

一全局文件中出现了eval关键字,代码如下:

这段代码还是比较新颖的,$webdb[_Notice] 这个变量,对应的是数据库中config表里key=>value 这样的内容,查了数据库,_Notice的内容为:

那么加上前面有个Y,base64 decode后得到的结果是:

这神马情况?官方发notice用那么猥琐?不管了,先删掉好了。不过到是给了我一个留shell的思路,哈哈哈哈哈哈哈哈!-_-!

91ri.org:可以学习一下~不错的留马思路~

link:http://wdot.cc/Defense/91.html

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。