我最近在我的WP安装中发现了一个插件内的plugin.php,它被执行了,幸运的是返回了一些错误。
这些文件以下列内容开始:
<?php
/**
* Author: plugin
* License: GPL v2 or later
* License URI: https://www.gnu.org/licenses/gpl-2.0.html
* Plugin Name: Plugin
* Requires PHP: 5.4
* Requires at least: 5.0
* Text Domain: plugin
* Version: 1.0
*/
if ( ! defined( 'ABSPATH' ) ) {
exit();
}
#¾êºÐý½s4+{œîÇê7ÀTG4î8TlŸþ§àU,åœàJ›ÒK.-èÒÃåbÀ¢žÇŒ±¤ùâÕDÑ!ò¡,÷YÛIŠ:£‘%½DF¶…àõzejXhøÑ_Ó—'þ6wNƆŽh•ÙB¾kn5J¥ðëÒˆ+1eÀ\¶xVÎïFÃã—aÊŨ±WAÄ®€>©áBPìXÄW1£@A3æ|ˆé§‚‰À°j„øÈUʶ„k'ÕüÒ¿.é¾}¾4óÍz„ßœønœâé.6Z"vz¦_ÅÕ+—Z7‹ ÷Ó†Étͣ˛⩋wÓ"=£h6íÞéBB /*%0ÕH‘%0.4‡?.ňuÀÀƒDFÌ!úé•6!ßNnRüôÅ•þÞÊNº.$H‘óÏ¿†y•³!Š7àx»Ñ´<ö~Þ|l}ì1²G'RÖº¤mQr»Ÿ3êßUëü•ùÑ@à»Yt²¼42ŽOy4z·–ïÄ‹^«î {ýFVD5¬ˆ_$7çyV8>í¹µÒ7OòžN’…3O¢àÐåF×ß~ÉÅù¿€IØälpŽwÝÌ7\ Š¿@CÜ¡•KßnÚV‚Å9äq˜ÞynˆßÿKEIk¯nÆ•RÄŒn1e16;L5›ËÍYð5g˜œ*/
并继续。我怀疑这里涉及到十六进制+ eval + gzip。
要知道此文件的用途,我可以做些什么?
下面是完整文件的链接
https://pastebin.com/redDEFJM
我试了一些在线工具,但没有任何提示
1条答案
按热度按时间rjee0c151#
你能确认你下载的PasteBin文件与你找到的文件完全匹配吗?去掉注解后,代码看起来:汇编字符串数组;将字符串连接在一起;尝试使用gzinflate解压缩结果;然后如果GZINFLOW没有由于无效数据而失败,则评估结果。
在原始字符串中有许多特殊字符,所以我想知道是复制粘贴到PasteBin,呈现PasteBin,还是我从那里下载正在做的一个小的改变,破坏了压缩流。
我也会继续关注它,但这里有一些处理混淆的想法:
/\*.*?\*/