Php GZI如何在不运行的情况下对膨胀的数据进行膨胀和保存?(在我的服务器上发现了我认为是特洛伊木马的东西)
嗯,不是我的服务器。我的朋友找到了它,并把它寄给了我,试图弄明白它的意思。它看起来是一个PHPIRC机器人,但我不知道如何解码它,如何理解它 代码如下:Php GZI如何在不运行的情况下对膨胀的数据进行膨胀和保存?(在我的服务器上发现了我认为是特洛伊木马的东西),php,eval,base64,gzip,Php,Eval,Base64,Gzip,嗯,不是我的服务器。我的朋友找到了它,并把它寄给了我,试图弄明白它的意思。它看起来是一个PHPIRC机器人,但我不知道如何解码它,如何理解它 代码如下: <pre> <?echo(gzinflate(base64_decode('some base 64 code here')))?> </pre> 所以我对base64进行了解码,它输出了大量奇怪的字符,我猜是加密的还是不同的文件类型,比如将.jpg改为.txt并打开它 但我不知道如何解码并确定它的来源。
<pre>
<?echo(gzinflate(base64_decode('some base 64 code here')))?>
</pre>
所以我对base64进行了解码,它输出了大量奇怪的字符,我猜是加密的还是不同的文件类型,比如将.jpg改为.txt并打开它
但我不知道如何解码并确定它的来源。有什么帮助吗?这应该是安全的,但仍会显示代码:
也就是说,echo
而不是eval
如果您更愿意在shell中执行此操作,请在base64解码后尝试
gunzip
。您可能会发现eval生成另一个eval循环。这可能会一直持续到最终执行真正的代码
我会在一台断开网络的机器上一步一步地对其进行解码,然后进行格式化。这是可行的,但是,它似乎解析了HTML,而不仅仅是向我显示代码。有没有办法让它不解析HTML?对。。。然后你需要用标签把它包起来。我更新了我的答案。啊工作得很好,谢谢。原来这是一个php后门,不是IRC机器人。我在一个与网络断开连接的虚拟盒子上使用了Legocia的答案。:)请注意,源代码可能会被混淆