一句话木马

........

说起一句话木马，在百度上搜索能够得到各种的回答解析，作为一名初入WEB安全的小白，在此前对于“一句话木马”这样一个东西还是十分的陌生，已经学习了一年半的信息安全，如此水平，实在惭愧。厚着脸皮在此总结一下，大佬绕过，纯属科普文！

1

原理

简单来说就是能够在目标服务器上执行插入的代码，并和一些客户端(如菜刀、Cknife)进行交互的Webshell。一般一句话木马大多都是只有两个部分，一个是可以执行代码的函数部分，一个是接收数据的部分。

像下面地例子：

其中eval就是执行命令的函数，$_POST['a']就是接收的数据。eval函数把接收的数据当作PHP代码来执行。这样就能够让插入了一句话木马的网站执行传递过去的任意PHP语句，这便是一句话木马的强大之处。

对于不同的语言有不同的构造方法，基本构造是：

首先出现的是脚本开始的标记

其次跟着的是eval 或者是execute：是核心部分，就是获取并执行后边得到的内容

而后边得到的内容，是request或者是 $_POST 获取的值。显然这些内容，如果我们通过客户端向服务器发送，那么就会让服务器执行我们发送的脚本，挂马就实现了

常见的一句话木马：

2

实际操作

以Cknife为例子，利用一句话木马获取网站目录：

(演示使用的是phpstudy)

在yolo.php中包含了php一句话木马：

通过菜刀连接：

然后就能够获取服务端的目录了：

如果已经知道了数据库的相关配置，可以直接连接数据库：

在这里连接phpstudy的数据库：

类型：MYSQL

地址：localhost

用户名：root

密码：root

编码：utf8

连接成功：

3

变形和隐藏

一句话木马的原理和构造都很简单易理解，然而在实际的场景中，诸如上面这样简单插入的一句话木马是很难实现的，攻防技术一直实在相互博弈中不断提升加强。黑客通过各种想进一切办法隐藏木马来绕过检测。唯有不断地实战，套路见地多了，问题就好解决了！

4

参考文章连接

【1】https://xz.aliyun.com/t/2335

【2】http://xuelinf.github.io/2016/05/31/给我一句话的时间-PHP后门溯源/

【3】https://www.freebuf.com/articles/web/9396.html

【4】https://xz.aliyun.com/t/2786

理解有不对的地方，还希望能够持有包容的态度看待，也十分乐意收到您的建议！

- THE END -

公众号ID：酒馆闲扯

长按二维码识别关注

图片：来源网络、侵删!