教你识别简单的免查杀PHP后门(怎样识别?)

编辑：rootadmin

推荐整理分享教你识别简单的免查杀PHP后门(怎样识别?)，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:教我怎么识别,简易识别方法,教我怎么识别,怎样识别?,教你识别简单的英语,识别技巧,教你识别简单的汉字,教你识别简单的汉字,内容如对您有帮助，希望把文章链接给更多的朋友！

一个最常见的一句话后门可能写作这样

或这样

tudouya 同学在FREEBUF上给出[一种构造技巧]利用

构造生成,当然,嫌太直观可以写作这样

然后再填充些普通代码进行伪装,一个简单的”免杀”shell样本就出现了

我们再来看看号称史上最简单免查杀php后门

直接上代码：

其实现原理就是PHP会直接将 ` 符号（注意：不是单引号）包含的内容解析为系统命令执行！这样就可以自由变态地扩展了！

再来看同样很简单的一段代码

密码page

近期捕获一个基于PHP实现的webshell样本，其巧妙的代码动态生成方式，猥琐的自身页面伪装手法，让我们在分析这个样本的过程中感受到相当多的乐趣。接下来就让我们一同共赏这个奇葩的Webshell吧。

Webshell代码如下：

关键看下面这句代码，

这里执行之后其实是一张图片，解密出来的图片地址如下：

仅用GET函数就构成了木马；利用方法： &#;a=assert&b=${fputs%fopen%base_decode%Yy5waHA%,w%,base_decode%PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%%};

执行后当前目录生成c.php一句话木马，当传参a为eval时会报错木马生成失败，为assert时同样报错，但会生成木马，真可谓不可小视，简简单单的一句话，被延伸到这般应用。层级请求，编码运行PHP后门：此方法用两个文件实现，文件1

文件2

通过HTTP请求中的HTTP_REFERER来运行经过base编码的代码，来达到后门的效果，一般waf对referer这些检测要松一点，或者没有检测。用这个思路bypass waf不错。

我们以一个学习的心态来对待这些PHP后门程序，很多PHP后门代码让我们看到程序员们是多么的用心良苦。

整理php防注入和XSS攻击通用过滤对网站发动XSS攻击的方式有很多种，仅仅使用php的一些内置过滤函数是对付不了的，即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags

PHP概率计算函数汇总其实发这篇博感觉并没有什么用，太简单了，会的人不屑看，不会的人自已动动脑子也想到了。但是看着自已的博客已经这么久没更，真心疼~。粗略算

php上传功能集后缀名判断和随机命名(强力推荐) 不废话了，具体请看下文代码示例讲解。form.phphtmlheadmetahttp-equiv="content-type"content="text/html"charset="utf-8"titleUploadImage/title/headbodyformmethod="post"action="upload.php"

标签: 怎样识别?

本文链接地址:https://www.jiuchutong.com/biancheng/284218.html 转载请保留说明！

上一篇：php 利用socket发送HTTP请求（GET，POST）(php socket select)

下一篇：整理php防注入和XSS攻击通用过滤(整理php防注入和注入)