学习
实践
活动
专区
工具
TVP
写文章

一句话木马

........

说起一句话木马,在百度上搜索能够得到各种的回答解析,作为一名初入WEB安全的小白,在此前对于“一句话木马”这样一个东西还是十分的陌生,已经学习了一年半的信息安全,如此水平,实在惭愧。厚着脸皮在此总结一下,大佬绕过,纯属科普文!

1

原理

简单来说就是能够在目标服务器上执行插入的代码,并和一些客户端(如菜刀、Cknife)进行交互的Webshell。一般一句话木马大多都是只有两个部分,一个是可以执行代码的函数部分,一个是接收数据的部分。

像下面地例子:

其中eval就是执行命令的函数,$_POST['a']就是接收的数据。eval函数把接收的数据当作PHP代码来执行。这样就能够让插入了一句话木马的网站执行传递过去的任意PHP语句,这便是一句话木马的强大之处。

对于不同的语言有不同的构造方法,基本构造是:

首先出现的是脚本开始的标记

其次跟着的是eval 或者是execute:是核心部分,就是获取并执行后边得到的内容

而后边得到的内容,是request或者是 $_POST 获取的值。显然这些内容,如果我们通过客户端向服务器发送,那么就会让服务器执行我们发送的脚本,挂马就实现了

常见的一句话木马:

2

实际操作

以Cknife为例子,利用一句话木马获取网站目录:

(演示使用的是phpstudy)

在yolo.php中包含了php一句话木马:

通过菜刀连接:

然后就能够获取服务端的目录了:

如果已经知道了数据库的相关配置,可以直接连接数据库:

在这里连接phpstudy的数据库:

类型:MYSQL

地址:localhost

用户名:root

密码:root

编码:utf8

连接成功:

3

变形和隐藏

一句话木马的原理和构造都很简单易理解,然而在实际的场景中,诸如上面这样简单插入的一句话木马是很难实现的,攻防技术一直实在相互博弈中不断提升加强。黑客通过各种想进一切办法隐藏木马来绕过检测。唯有不断地实战,套路见地多了,问题就好解决了!

4

参考文章连接

【1】https://xz.aliyun.com/t/2335

【2】http://xuelinf.github.io/2016/05/31/给我一句话的时间-PHP后门溯源/

【3】https://www.freebuf.com/articles/web/9396.html

【4】https://xz.aliyun.com/t/2786

理解有不对的地方,还希望能够持有包容的态度看待,也十分乐意收到您的建议!

- THE END -

公众号ID:酒馆闲扯

长按二维码识别关注

图片:来源网络、侵删!

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190119G0WT0800?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

关注

腾讯云开发者公众号
10元无门槛代金券
洞察腾讯核心技术
剖析业界实践案例
腾讯云开发者公众号二维码

扫码关注腾讯云开发者

领取腾讯云代金券