警告:这是一种可能的漏洞利用.如果您不确定如何处理,请不要直接在您的服务器上运行.
http://pastehtml.com/view/1b1m2r6.txt
我相信这是通过不安全的上传脚本上传的.如何解码和解压缩此代码?在浏览器中运行它可能会将其作为shell脚本执行,打开端口或其他东西.
我可以在线进行base64解码但我无法真正解压缩.
Del*_*ani 32
所以有一个字符串.它是gzip和base64编码的,代码解码base64然后解压缩它.
完成后,我得到了这样的结果:
<? eval(base64_decode('...')); ?>
另一个 BASE64的层,这是720440个字节.
现在,base64解码了,我们有506961字节的漏洞利用代码.
我还在检查代码,当我有更多的理解时会更新这个答案.代码很大.
仍在阅读代码,并且(非常好的)漏洞允许这些工具暴露给黑客:
这可能是一个专业的基于PHP的服务器范围的漏洞利用工具包,并且看到它有一个很好的HTML界面和整个很多,它可以很容易地被专业黑客,甚至是脚本小子使用.
这个漏洞被称为c99shell(感谢易江),它已经非常受欢迎,已经被讨论并运行了几年.谷歌在这个漏洞利用方面有很多结果.
Mic*_*rdt 16
看看Delan的解码源,它似乎是一个成熟的后门,提供了一个可用于以各种方式控制服务器的Web界面.从来源讲述片段:
echo '<center>Are you sure you want to install an IP:Port proxy on this
website/server?<br />
要么
<b>Mass Code Injection:</b><br><br>
Use this to add PHP to the end of every .php page in the directory specified.
要么
echo "<br><b>UDP Flood</b><br>Completed with $pakits (" .
round(($pakits*65)/1024, 2) . " MB) packets averaging ".
round($pakits/$exec_time, 2) . " packets per second \n";
要么
if (!$fp) {echo "Can't get /etc/passwd for password-list.";}
我建议你擦洗该服务器并从头开始重新安装.
小智 7
我知道Delan Azabani已经这样做了,但实际上你知道他是如何获得数据的:
如果您想知道如何解压缩它,请使用base64 -d filename > output解析base64字符串并gunzip file.name.gz解析gzip压缩数据.
诀窍在于认识到你所拥有的是base64或gunzip并解压缩正确的位.
这样它在JS解析器或PHP解析器附近绝对无处可去.