这篇文章感觉写的挺好的,对我来说方便理解这篇文章转字https://bbs.ichunqiu.com/thread-26365-1-1.html?from=kx3
膜拜!!!
0x01:什么是一句话木马?
一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数种变形,但本质是不变的:木马的函数执行了我们发送的命令。
0x02:我们如何发送命令,发送的命令怎样被执行?
我们可以通过GET 、POST 、COOKIE 这三种方式向一个网站提交数据,一句话木马用
$_GET[' ']、$_POST[' ']、$_COOKIE[' '] 接收我们传递的数据,并把接收的数据传递给一句话木马中执行命令的函数,进而执行命令。所以看到的经典一句话木马大多都是只有两个部分,一个是可以执行代码的函数部分,一个是接收数据的部分。
就像是这样:执行命令的函数(接收的数据)
其中eval就是执行命令的函数,$_POST['a']就是接收的数据。eval函数把接收的数据当作php代码来执行。这样我们就能够让插了一句话木马的网站执行我们传递过去的任意php语句。这便是一句话木马的强大之处。
我来演示一下,利用火狐浏览器的hackbar插件提交数据。
因为木马是接收post请求中 “a” 的数据( $_POST[‘a’]),所以我们必须以post方法发送数据并且将我们要执行的代码赋值给“a”。如果把木马中的post替换成get,那么我么就需要以GET方法发送“a”,( 就像这样: http://127.0.0.1/test.php?a=phpinfo(); )我就不再另行演示了。
0x03:还有什么函数可以制作一句话木马?
除了eval这个函数之外,肯定还有很多函数可以做到相同的功能,就比如assert。这个函数的用法和eval一样,直接替换,不多说。
当然还有其他函数可用。
create_function函数:
把用户传递的数据生成一个函数fun(),然后再执行fun()。
回调函数call_user_func :
我的理解是call_user_func这个函数可以调用其他函数,被调用的函数是call_user_func的第一个参数,被调用的函数的参数是call_user_func的第二个参数。这样的一个语句也可以完成一句话木马。一些被waf拦截的木马可以配合这个函数绕过waf。(此函数可用call_user_func_array代替,使用方法自行查阅)
preg_replace函数:
这个函数原本是利用正则表达式替换符合条件的字符串,但是这个函数有一个功能,可执行命令的功能。这个函数的第一个参数是正则表达式,按照php的格式,表达式在两个“/”之间。如果我们在这个表达式的末尾加上“e”,那么这个函数的第二个参数就会被当做代码执行。就像上图所示。
还有一些间接的方法,利用函数生成木马。
file_put_contents函数
函数作用:生成一个文件,第一个参数是文件名,第二个参数是文件的内容。
类似对文件操作的函数还有,不再一一列出。
tips:使用中国菜刀连接木马的话,需要注意,新版的过狗菜刀对一句话木马的兼容性没有老版本菜刀的好(自带的默认配置的问题),有一些木马需要自行修改菜刀配置才可以连接。可以看我另一篇文章:
过狗菜刀原理以及自己配置更厉害的过狗菜刀
https://bbs.ichunqiu.com/thread-26196-1-1.html
0x04:怎么让一句话木马绕过waf ?
什么是waf?waf是网站应用防火墙,例如安全狗就属于waf的一种。
waf通常会以关键字判断是否为一句话木马,但是一句话木马的变形有很多种,waf根本不可能全部拦截。
想要绕过waf,需要掌握各种php小技巧,掌握的技巧多了,把技巧结合起来,设计出属于自己的一句话木马。下面介绍一些技巧
1.php变量函数:
第三行使用了变量函数 $a,变量储存了函数名,便可以直接用变量替代函数名。
2.php可变变量:
看这句就明白的吧:$$aa = $($aa) = $ (‘bb’) = $bb = “assert”
3.str_replace函数
这个函数作用是:在第三个参数中查找第一个参数,并替换成第二个参数。这里第二个参数为空字符串,就相当于删除“bb”。
4.base64_decode函数
这是base64解密函数,“YXNzZXJ0”是assert的base64加密。
5.“.”可以连接字符串与变量
6. parse_str函数
执行这个函数后,生成一个变量$a,值为字符串”assert”。
技巧不止这几种,暂时就想到这些。
这六种技巧每一种单独使用都不能绕过waf,但是与 0x03提到的函数混合起来使用,就可以顺利的欺骗waf。
tips:使用一句话木马的时候可以在函数前加”@”符,这个符号让php语句不显示错误信息,增加隐蔽性。
最后举个栗子:
这里又有一个技巧,创建函数 fun(),返回post中“a”的数据。我的这个例子很明显是一句话木马,但是安全狗却扫不出,D盾也是如此。也许我的是假盾,假狗,民间狗比不上企业狗,但是这也说明了一句话木马过waf其实并不困难,只要自己有新思路,waf什么的根本比不过你。