黑帽联盟

 找回密码
 会员注册
查看: 1914|回复: 4
打印 上一主题 下一主题

[系统安全] web后门 那些强悍猥琐流弊的PHP一句话后门大全分享

[复制链接]

895

主题

38

听众

3329

积分

管理员

Rank: 9Rank: 9Rank: 9

  • TA的每日心情
    难过
    昨天 22:31
  • 签到天数: 1652 天

    [LV.Master]伴坛终老

    我们以一个学习的心态来对待这些PHP后门程序,很多PHP后门代码让我们看到程序员们是多么的用心良苦
    强悍的PHP一句话后门

    这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。

    利用404页面隐藏PHP小马:
    游客,如果您要查看本帖隐藏内容请回复


    404页面是网站常用的文件,一般建议好后很少有人会去对它进行检查修改,这时我们可以利用这一点进行隐藏后门。

    无特征隐藏PHP一句话:
    游客,如果您要查看本帖隐藏内容请回复


    将$_POST['code']的内容赋值给$_SESSION['theCode'],然后执行$_SESSION['theCode'],亮点是没有特征码。用扫描工具来检查代码的话,是不会报警的,达到目的了。

    超级隐蔽的PHP后门:
    游客,如果您要查看本帖隐藏内容请回复


    仅用GET函数就构成了木马;

    利用方法:
    游客,如果您要查看本帖隐藏内容请回复


    执行后当前目录生成c.php一句话木马,当传参a为eval时会报错木马生成失败,为assert时同样报错,但会生成木马,真可谓不可小视,简简单单的一句话,被延伸到这般应用。

    层级请求,编码运行PHP后门:
    此方法用两个文件实现,文件1
    游客,如果您要查看本帖隐藏内容请回复


    文件2
    游客,如果您要查看本帖隐藏内容请回复


    通过HTTP请求中的HTTP_REFERER来运行经过base64编码的代码,来达到后门的效果,一般waf对referer这些检测要松一点,或者没有检测。用这个思路bypass waf不错。

    PHP后门生成工具weevely

    weevely是一款针对PHP的web的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似telnet的方式来代替web 页面式的管理,weevely生成的服务器端php代码是经过了base64编码的,所以可以骗过主流的杀毒软件和IDS,上传服务器端代码后通常可以通过weevely直接运行。

    weevely所生成的PHP后门所使用的方法是现在比较主流的base64加密结合字符串变形技术,后门中所使用的函数均是常用的字符串处理函数,被作为检查规则的eval,system等函数都不会直接出现在代码中,从而可以致使后门文件绕过后门查找工具的检查。使用暗组的Web后门查杀工具进行扫描,结果显示该文件无任何威胁。

    以上是大概介绍下边是截图,相关使用方法亦家就不在这介绍了,简单的科普一下。

    php后门

    三个变形的一句话PHP木马

    第一个
    游客,如果您要查看本帖隐藏内容请回复


    在菜刀里写http://site/1.php?2=assert密码是1

    第二个
    游客,如果您要查看本帖隐藏内容请回复


    在菜刀里写http://site/2.php?_=assert&__=eval($_POST['pass']) 密码是pass。
    如果你用菜刀的附加数据的话更隐蔽,或者用其它注射工具也可以,因为是post提交的。

    第三个
    游客,如果您要查看本帖隐藏内容请回复


    str_rot13(‘riny’)即编码后的eval,完全避开了关键字,又不失效果,让人吐血!

    .htaccess做PHP后门
    这个其实在2007年的时候作者GaRY就爆出了,只是后边没人关注,这个利用关键点在于一句话:
    AddType application/x-httpd-php .htaccess
    ###### SHELL ###### 这里写上你的后门吧###### LLEHS ######

    toby57解析加密一句话木马
    此段后门使用方法会与其它方法不太一样,具体看下面
    Client:
    游客,如果您要查看本帖隐藏内容请回复


    Server:
    游客,如果您要查看本帖隐藏内容请回复


    对服务端与客户端指令对比,如一致则执行后门指令。

    最后列几个高级的PHP一句话木马后门
    游客,如果您要查看本帖隐藏内容请回复


    综上,这些PHP一句话后门可谓五脏俱全,一不小心您肯定中招了,而我们今天这篇文章的重中之重在哪呢?重点就在下边的总结!

    如何应对PHP一句话后门
    我们强调几个关键点,看这文章的你相信不是门外汉,我也就不啰嗦了:

    ■对PHP程序编写要有安全意识
    ■服务器日志文件要经常看,经常备份
    ■对每个站点进行严格的权限分配
    ■对动态文件及目录经常批量安全审查
    ■学会如何进行手工杀毒《即行为判断查杀》
    ■时刻关注,或渗入活跃的网络安全营地
    ■对服务器环境层级化处理,哪怕一个函数也可做规则

    个人认为当管理的站点多了,数据量大时,我们应合理应用一些辅助工具,但不应完全依赖这些工具,技术是时刻在更新进步的,最为重要的是你应学会和理解,编写这些强悍后门的人所处思维,角色上的换位可为你带来更大的进步。


    帖子永久地址: 

    黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与黑帽联盟享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

    勿忘初心,方得始终!

    0

    主题

    0

    听众

    46

    积分

    黑帽菜鸟

    Rank: 1

  • TA的每日心情
    擦汗
    2017-12-17 17:41
  • 签到天数: 24 天

    [LV.4]偶尔看看III

    谢谢分享,学习学习
    回复

    使用道具 举报

    4

    主题

    3

    听众

    302

    积分

    黑帽学员

    Rank: 3Rank: 3

  • TA的每日心情
    郁闷
    2019-5-8 02:08
  • 签到天数: 265 天

    [LV.8]以坛为家I

    值得收藏
    来自安卓客户端来自安卓客户端
    回复

    使用道具 举报

    1

    主题

    0

    听众

    345

    积分

    黑帽学员

    Rank: 3Rank: 3

  • TA的每日心情

    2020-1-22 01:58
  • 签到天数: 115 天

    [LV.6]常住居民II

    天下唯我独尊···
    回复

    使用道具 举报

    1

    主题

    0

    听众

    4

    积分

    黑帽菜鸟

    Rank: 1

  • TA的每日心情

    2018-8-20 15:06
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    ???????????
    已有 1 人评分黑币 收起 理由
    yun -4 灌水!

    总评分: 黑币 -4   查看全部评分

    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 会员注册

    发布主题 !fastreply! 收藏帖子 返回列表 搜索
    回顶部