回覆

1. HTTP 請求部分：
   • 請求方法為GET。
   • 請求的目標URL 包含了參數，參數名為s，值為index/ hinkapp/invokefunction，function參數值為call_user_func_array，vars參數包含了一個陣列。
   • 請求頭中包含了一些訊息，如引用頁面、使用者代理、主機名稱、接受類型等。
   • cdn-src-ip和x-forwarded-for頭部包含了一些IP 位址，可能是請求經過的代理伺服器的位址。
2. 請求主體部分為空，因為這是一個GET 請求，所有參數都在URL 中。
3. 參數中的vars包含了一個數組，該數組的第一個元素是file_put_contents，第二個元素是一個數組，包含了兩個元素：
   • dmlws.php，檔名。
   • 包含PHP 程式碼的內容，程式碼內容與先前的範例類似，也是創建了一個名為GaM10fA5的類，並在建構函數中使用了eval函數執行傳入的參數。
4. 整個URL 的建構是為了在目標伺服器上執行PHP 程式碼，透過呼叫file_put_contents函數將PHP 程式碼寫入到名為dmlws.php的檔案中，然後執行該檔案。這段PHP 程式碼也是一個後門，可以讓攻擊者遠端執行任意PHP 程式碼。

這是一種典型的攻擊手法，利用了目標伺服器的漏洞或弱點，透過遠端執行惡意程式碼來取得對伺服器的控制權。

1. HTTP 請求部分：
   • 請求方法為POST。
   • 請求的目標URL 是/wxapp.php?controller=Goods.doPageUpload。
   • 請求頭中包含了一些訊息，如主機名稱、內容長度、接受類型、引用頁面、內容類型等。
   • 在user-agent中偽裝成了舊版的Chrome 瀏覽器。
   • cdn-src-ip和x-forwarded-for頭部包含了一些IP 位址，可能是請求經過的代理伺服器的位址。
2. 請求主體部分是一個multipart/form-data格式的數據，以------WebKitFormBoundary8UaANmWAgM4BqBSs作為分隔符號。
3. 在form-data部分中，有一個欄位名為upfile，它是一個檔案上傳欄位。文件名為diguo.php，並且偽裝成了GIF 圖片，但實際內容是PHP 程式碼。這段PHP 程式碼會建立一個名為GaM10fA5的類，該類別建構函數接受一個參數$H7mu6，然後透過eval函數執行了這個參數的內容。最後，使用new GaM10fA5($_REQUEST['123'])來呼叫這個類，傳遞了一個名為123的請求參數作為建構函數的參數。

IP是CDN位址，應該是想透過本站上傳帶有PHP代碼的圖片，本站有一些功能允許用戶上傳圖片或視頻，應該用這個方法來上傳。

Re: php class GaM10fA5 { public function __construct($H7mu6){ @eval(

1. 定義了”binarys“、”server_ip“、”binout“、”exec“ 的變數：
   • binarys包含了常見的架構類型，如"mips mpsl x86 arm arm5 arm6 arm7 sh4 ppc arc"。
   • server_ip包含了一個IP 位址，指向惡意服務的主機。
   • binout惡意檔案的名稱。
   • exec提示訊息。
2. 刪除操作rm -rf $binout，用於刪除先前下載的惡意文件，如果存在的話。
3. 之後是循環，針對每種架構類型執行以下操作：
   • 刪除可能已經存在的同名檔案$arch。
   • 嘗試從遠端伺服器下載文件，使用wget、curl或tftp中的一個。
   • 設定下載的檔案權限為可執行。
   • 執行下載的文件，將輸出儲存在status變數中。
   • 如果status變數的內容與exec變數相等，表示裝置被感染，刪除惡意檔案並跳出迴圈。
   • 如果沒有感染，則刪除下載的惡意檔案。
4. cd指令，試圖切換到/tmp、/var或/dev目錄，以便下載檔案。隱藏惡意文件，這些目錄通常不會引起懷疑。
5. 利用了常見的Liunx下載命令（wget、curl、tftp），試圖將惡意檔案下載到目標設備，並執行它們。一旦設備被感染，它會執行一些命令，然後刪除惡意文件，以避免被發現。
6. 該腳本對多種架構類型進行了支持，攻擊者可能針對不同類型的設備進行攻擊。