看看PHP大马的后门

在百度下载一个PHP大马来测试一下。

image778×478 55.7 KB

打开一看被加密了，发现用了PHP的gzinflate函数进行了压缩，再Base64编码了。

image1100×700 35.1 KB

这直接把加密的部分去Base64+Gzinflate在线加密解密一下。

image933×409 40.5 KB

image947×410 16.4 KB

然后直接找下密码

image1551×390 32.2 KB

这还有些base64编码，那就再解码一下，

image1412×61 4.59 KB

好家伙，把webshell的地址和密码发到了http://45677789.com 这个后门地址了。

0 投票者