前不久，我获得了某个黑客以100U天价售卖的全自动GetShell工具，打开之后都是乱七八糟的加密，接下来我会解出源码并分析此工具。

首先看这个代码最后一行，是导入某模块，我们用ascii转换成字符串看看。

print(b"\x62\x61\x73\x65\x36\x34".decode(ascii))

结果出现base64，我便推测这些代码均可用ascii解码并用base64解密，从而解出源码

我先把其全部的密文转换成byte形式

其部分base64密文

然后我再将其解密：

解密完成。

接下来是分析

这部分是导入相关模块以及给颜色变量，与工具的功能并无太大关联

shell那就是一句话木马了，从中我大概可以猜到这个原理是通过某个漏洞或功能上传php马并获取部分权限，下边是设置请求头。

打开有关文件并读取，这不重要

URL重写，便于下面的文件上传等操作

相对最重要的代码：

check = requests.get(url+'/wp-content/plugins/work-list/lang.php',headers=headers, allow_redirects=True,timeout=15)

check变量是检查是否有/wp-content/plugins/work-list/lang.php文件，如果有：则检查文件中有无"Yanz Webshell"字符。如果有则保存到shells.txt

综上所述，这只是一个扫webshell的工具，且只能扫描一种webshell

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）