Nginx处理漏洞+木马后门分析

Nginx

解析过程

1. `Nginx`拿到`URI`为`/1.jpg/xxx.php`后，识别处后缀是`.php`，认为是`php文件`，转交给`PHP FastCGI处理程序`去处理。
2. `PHP FastCGI处理程序`识别该`URI`： `/1.jpg/xxx.php`不存在，按照`PHP FastCGI处理程序`自己的规则，删去最后的`/xxx.php`，又看`/1.jpg`存在，就将`/1.jpg`当成要执行的文件，就成功解析并执行

> 该漏洞与nginx，php的版本无关，这是由于 php 中的选项 cgi.fix_pathinfo 默认值为1，表示开启；nginx看到.php结尾的文件就交给php处理，而不先判断文件是否存在，这一点IIS与nginx是一样的。

木马后门分析

在百度上能看见各种免杀大马，尤其是内容经过加密的，多多少少都可能存在后门。现以该miansha.php为例。

1. 首先看下内容，我们用echo输出$filename变量，除了开头和结尾，中间都是base64加密的，我们把加密的内容（从eval开始到最后加密的部分）拿到unphp.net解密

2. 将解密后的内容复制到notepad++，然后查找关键字base64，发现又是一层加密的好东西，在unphp.net中输出这个变量echo $copyurl = base64_decod。。。。。

   

3. 解密出来后还有加密<?php http: //%71%79%76%63%2e%63%6f%6d/%70%68%70/?u=解密出来后变为qyvc.com/php/?u=，该地址可能就是后门获取信息的地方

4. 这类大体构思就是会把目标主机和登录密码等信息，发送到服务端。一般这种木马都有一个万能密码，类似与postpass=http200ok之类的，只要以post传值http200ok就能万能登录。

5. 可以改变后门地址，然后使用xss平台做的地址代替，自己接收；xss平台：https://xss8.cc/bdstatic.com/