摘要: fputs(fopen('a.php','w'),'');php后门有很多,包子也见多了和玩多了,但是在一次帮助朋友检查服务器的时候,竟然发现这样的恶意代码。事情是这样的,朋友的网站的利用各种查找后门的工具都没有发现php木马。老是找不到,小黑的伎俩很高级,每次使用完毕总是把后门删掉,但是每次都能继续进来,总是找不到从哪进来的。这个着实让人蛋疼。后来,终于在日志中发现一丝蛛丝马迹,通过我的分析,我发现一个IP总是很奇怪的POST数据到某个文件。然后一段时间后,此IP就访问一个莫名奇妙文件,名字很显眼明显不是正常系统文件,而是PHP后门。但是很快使 阅读全文
posted @ 2013-11-04 16:34 也许明天 阅读(2709) 评论(4) 推荐(1) 编辑
摘要: 对某PHP程序解密过程作者:蒲松林发布时间:2013年09月02日所在分类:代码评论数:暂无评论对于程序加密可能是出于程序创作者对于自己的产品产权保护、授权验证,也有一些人把一些后面程序以及黑链等加密发布的。在给朋友用的一套程序中发现index.php被加密了。一些站长朋友是不是经常会看到类似的加密?默认的index.php肯定不是这样的,那么我们今天就来一步一步的对这个PHP程序进行解密。蒲松林了解到这类加密就是采用了微盾的方式进行的,我们姑且不去管网上有对应的解密工具,直接手工吧。源代码如下:index.php源代码PHP123解密方法如下:index.php加密后的解密方法PHP1234 阅读全文
posted @ 2013-11-04 15:27 也许明天 阅读(1672) 评论(0) 推荐(0) 编辑
摘要: 1、2000系统 简要说一下如何进行DNS溢出攻击。我用的溢出利用程序是dns.exe,在CMD下运行它可以看到它的使用参数等信息。执行"dns -s IP"命令检测目标IP是否存在DNS溢出漏洞。在图中我们可以看出目标主机存在DNS溢出漏洞,操作系统为Windows 2000!接着我们进行溢出攻击,执行"dns -t 2000all IP 1207"后提示要我们检测返回的1100端口的shell。"telnet IP 1100"成功得到返回的cmdshell。注意目录为c:\WINNT\system32,顶部也明显可以看到Windo 阅读全文
posted @ 2013-11-04 11:30 也许明天 阅读(382) 评论(3) 推荐(0) 编辑