#! /bin/bash
# author: [email protected]
# # trojan feature
trojan=@eval
function check_dir()"x = "dll"x ]
then
strings $f2 |grep -q $trojan
if [ $? == 0 ]
then
echo "===" $f2 "===="
strings $f2 |grep $trojan
fifi
done
}# . stand for current directory
check_dir .
# -*- coding:utf8 -*-
__author__='[email protected]'
__blog__=''
import os
import string
import re
def strings(file) :
chars = string.printable[:94]
shortestreturnchar = 4
regexp = '[%s]' % (chars, shortestreturnchar)
pattern = re.compile(regexp)
with open(file, 'rb') as f:
return pattern.findall(f.read())
def grep(lines,pattern):
for line in lines:
if pattern in line:
yield line
def pcheck(filename):
# trojan feature
trojan='@eval'
# just check dll file
if filename.endswith('.dll'):
lines=strings(filename)
try:
grep(lines,trojan).next()
except:
return
print '=== ==='.format(filename)
for line in grep(lines,trojan):
print line
pass
def foo():
# . stand for current directory
for path, dirs, files in os.walk(".", topdown=false):
for name in files:
pcheck(os.path.join(path, name))
for name in dirs:
pcheck(os.path.join(path, name))
pass
if __name__ == '__main__':
foo()
執行指令碼發現php_xmlrpc.dll存在問題
也可以直接開啟,搜尋關鍵字eval
為了減少系統已產生的後門帶來的危險,可以繼續做以下工作:
phpstudy後門復現
1.影響版本分布 2.直觀感性驗證 用記事本或者notepad 開啟phpstudy安裝目錄下的 phptutorial php php 5.4.45 ext php xmlrpc.dll 存在 eval s s 即說明有後門。3.客觀理性驗證 bp抓包復現 直接訪問首頁抓包 在請求頭里構造 acc...
phpstudy後門簡單分析
感謝pcat師傅的文章 20號得知phphstudy有後門,不知道官網的是不是也被入侵了,當時沒有進行檢視,由於當時正在秋招面試比較忙,鴿了幾天有了下文 被中馬的為php xmlrpc.dll這個dll檔案,這個可以通過查詢洩露字串很容易通過指令碼實現,就不貼了,可以以eval為關鍵字來進行搜尋 p...
使用Ghidra分析phpStudy後門
主要工具 kali linux ghidra 9.0.4 010editor 9.0.2 樣本環境 windows7 phpstudy 20180211 先在 windows 7 虛擬機器中安裝 phpstudy 20180211,然後把安裝完後的目錄拷貝到 kali linux 中。根據網上公開的...