一句话木马的多种变形方式 |
您所在的位置:网站首页 › 用如花似玉写一句话 › 一句话木马的多种变形方式 |
今天来和大家聊一聊,一句话木马的多种变形方式。 经常有客户的网站碰到被上传小马和大马,这里的“马”是木马的意思,可不是真实的马。 通常,攻击者利用文件上传漏洞,上传一个可执行并且能被解析的脚本文件,通过这个脚本来获得服务器端执行命令的能力,也就是我们经常听到的WebShell,而这个脚本文件就是我们常说的大马和小马。 1、都有些什么“马”?小马 体积小,功能少,优点在于不易被发现,功能单一,常作为上传大马的跳板。 大马 体积大,功能强大,但是易被发现。 一句话木马 在小马和大马之外衍生出的另一种木马,只需短短一行代码,再结合WebShell工具(如菜刀、蚁剑、冰蝎等等)就能做到与大马能力相当的功能(执行命令行、文件上传、文件下载等功能)。随着一句话木马的滥用,普通的一句话木马都已经逃不过waf的检测了,为了逃避waf的检测,一句话木马开始了他的变形之旅。 2、一句话木马的变形之路环境介绍: 解析语言:php(版本:5.6.27) WebShell工具:蚁剑 【最初的一句话】制作一句话: 图 1 最简单的一句话木马 找到具有上传漏洞的站点,将该脚本上传,并访问。发现是一片空白,可以说明该木马能被解析。 图 2 访问脚本 使用蚁剑连接。 图 3 蚁剑连接 连接成功,获得WebShell。 图 4 获得webshell 这样的木马虽然简单,但是他明显的关键字很容易就被各类waf检测到。 为了绕过waf,我们的思路可以更宽一些,主要的思路有大小写混淆,字符编码,分散特征码等。 【create_function函数】脚本内容: 把用户传递的数据生成一个函数fun(),然后再执行fun()。 【create_function函数】脚本内容: call_user_func这个函数可以调用其它函数,被调用的函数是call_user_func的第一个函数,被调用的函数的参数是call_user_func的第二个参数。这样的一个语句也可以完成一句话木马。一些被waf拦截的木马可以配合这个函数绕过waf。 【preg_replace函数】脚本内容: 这个函数原本是利用正则表达式替换符合条件的字符串,但是这个函数有一个功能——可执行命令。这个函数的第一个参数是正则表达式,按照PHP的格式,表达式在两个“/”之间。如果我们在这个表达式的末尾加上“e”,那么这个函数的第二个参数就会被当作代码执行。 【file_put_contents函数】脚本内容: |
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |