警告:这是一种可能的漏洞利用.如果您不确定如何处理,请不要直接在您的服务器上运行.
http://pastehtml.com/view/1b1m2r6.txt
我相信这是通过不安全的上传脚本上传的.如何解码和解压缩此代码?在浏览器中运行它可能会将其作为shell脚本执行,打开端口或其他东西.
我可以在线进行base64解码但我无法真正解压缩.
所以有一个字符串.它是gzip和base64编码的,代码解码base64然后解压缩它.
完成后,我得到了这样的结果:
另一个 BASE64的层,这是720440个字节.
现在,base64解码了,我们有506961字节的漏洞利用代码.
我还在检查代码,当我有更多的理解时会更新这个答案.代码很大.
仍在阅读代码,并且(非常好的)漏洞允许这些工具暴露给黑客:
TCP后门设置
未经授权的shell访问
读取所有htpasswd,htaccess,密码和配置文件
日志擦拭
MySQL访问(读,写)
将代码附加到与名称模式匹配的所有文件(批量利用)
RFI/LFI扫描仪
UDP泛洪
内核信息
这可能是一个专业的基于PHP的服务器范围的漏洞利用工具包,并且看到它有一个很好的HTML界面和整个很多,它可以很容易地被专业黑客,甚至是脚本小子使用.
这个漏洞被称为c99shell(感谢易江),它已经非常受欢迎,已经被讨论并运行了几年.谷歌在这个漏洞利用方面有很多结果.
看看Delan的解码源,它似乎是一个成熟的后门,提供了一个可用于以各种方式控制服务器的Web界面.从来源讲述片段:
echo 'Are you sure you want to install an IP:Port proxy on this website/server?
要么
Mass Code Injection:
Use this to add PHP to the end of every .php page in the directory specified.
要么
echo "
UDP Flood
Completed with $pakits (" . round(($pakits*65)/1024, 2) . " MB) packets averaging ". round($pakits/$exec_time, 2) . " packets per second \n";
要么
if (!$fp) {echo "Can't get /etc/passwd for password-list.";}
我建议你擦洗该服务器并从头开始重新安装.
我知道Delan Azabani已经这样做了,但实际上你知道他是如何获得数据的:
如果您想知道如何解压缩它,请使用base64 -d filename > output解析base64字符串并gunzip file.name.gz解析gzip压缩数据.
诀窍在于认识到你所拥有的是base64或gunzip并解压缩正确的位.
这样它在JS解析器或PHP解析器附近绝对无处可去.
京公网安备 11010802040832号 | 京ICP备19059560号-6 