这个脚本是做什么的？

Question

我有一个网站，用户可以上传文件与他人分享。但首先我需要验证它们。 最近有人上传有以下命令的PHP文件：

‰PNG 

<?php 
eval(gzinflate(base64_decode("very large strings of characters"))); 

?> 

我想这可能是有害的，所以我没有打开它。

有没有人有任何想法它做什么？

Answer 1

似乎攻击者的代码是base64编码和gzipped。

因此，首先将代码从base64编码进行解码，然后基本上解压缩直到出现一串代码。

然后在生成的字符串上调用eval，该字符串将执行已解码和解压缩的代码。

但是没有看到生成的代码，很难说代码运行时会做什么。

---

我解码了编码文本。使用下面的方法

（我想现在写文件是一个坏主意，现在我想到了它，主要是如果你在Windows上，我猜在Linux上执行位关闭会更安全一些。所以，我是一种幸运在这种情况下！）

<?php 
$test = gzinflate(base64_decode("encoded_text")); 
$myFile = "testFile.txt"; 
$fh = fopen($myFile, 'w'); 
fwrite($fh, $test); 
fclose($fh); 

我写的输出到文件，以防万一有一些随机的HTML或JavaScript，可以感染我的电脑，如果我只是把它回显到我的浏览器。这可能是您获得防病毒警告的原因。

我不确定它还有什么。

---

只是浏览代码，就像4,750行代码，它似乎设置了基本身份验证。然后有很多数据库功能和一些基本的html界面。这在PHP中。还有一些Perl。接近尾声。

基本上它看起来是这样的：显示该图像的每个页面都会输出该代码的一部分，并与代码一起执行，并尝试获取输入数据或尝试查找会话数据和/或数据库值。

然后，代码的其他部分基本上创建一个管理界面，当这样的url被访问：url？admin = 1，这将启动一个基本身份验证身份验证。然后有一个简单的界面phpmyadmin喜欢的界面，用户可以尝试不同的查询和收集关于你的数据库的元数据。也许其他的东西跑到执行等等。

我可能是错的，但这是我通过代码获得的要点。

Answer 2

没有人可以告诉你，只是做

<?php echo gzinflate(base64_decode("very large strings of characters")) ?> 

，看看它会做....

编辑：现在好了，你已经张贴整个字符串解码，我和它粘贴它here

Answer 3

的代码是好的，你需要照顾的唯一事情是加密

< ?php eval(gzinflate(base64_decode("very large strings of characters"))); 

这类声明的参考，你可以参考

http://php.net/manual/en/function.gzinflate.php

的长字符串