实战 | 记一次PHP混淆后门的分析利用

作者：小老弟你怎么回事@深信服深蓝实验室天慧战队目标一个站发现版权和标题都是XX源码下载网，那目标源码可能是网上下载的，于是我也搞了一套源码回本地开始测试。我习惯网上这种能下载到的源码一般很大可能是存在后门，先D盾杀查一把梭，果然源码有混淆，然后一个藏在images目录下的php非常可疑，还调用了phpinfo()。当然事情远没有这么简单，打开该文件后发现进行了混淆编码，于是尝试哪些php解密工具进行解密。但是并不能解开，或者说不是一些常见的加密和混淆的方案。尝试手工分析先把源码格式化一下，虽然看着还是很自闭，但是至少能下手了。看到这种数字+字母最高只出现个F的，那就是16进制了，特别还用了pack函数。随便选一段然后用burpsuite的解码器选择 ASCII hex的方式66696C655F6765745F636F6E74656E7473->file_get_contents当然如果 ………………………………