Web木馬的特點(diǎn)有哪些

Web木馬的特點(diǎn)有哪些？

Web木馬主要有以下幾個(gè)主要特點(diǎn)：

1． 木馬可大可小

根據(jù)功能不同，Web木馬自身的文件大小也各不相同。最小的木馬可利用一行代碼進(jìn)行實(shí)現(xiàn)。大的木馬在提供各類(lèi)豐富的功能基礎(chǔ)之上，自身的大小也會(huì)超過(guò)10KB。因此無(wú)法根據(jù)文件的代碼量判斷木馬。

2． 無(wú)法有效隱藏

Web木馬執(zhí)行時(shí)必須按照中間件支持的Web格式進(jìn)行解析并執(zhí)行。

在真實(shí)攻擊中，攻擊者通常會(huì)將木馬命名為一個(gè)近似系統(tǒng)文件或正常文件的名字，并在其中填充大量與當(dāng)前站點(diǎn)中相似的無(wú)效代碼，以迷惑管理員。若攻擊者沒(méi)有系統(tǒng)權(quán)限，木馬在服務(wù)器端無(wú)法真正隱藏。

3． 具有明顯特征值

Web木馬的特點(diǎn)有很多，主要表現(xiàn)在其特殊功能方面。

如針對(duì)數(shù)據(jù)庫(kù)的大量操作功能、文件創(chuàng)建修改功能等都可被攻擊者使用。在使用過(guò)程中，攻擊者的操作行為會(huì)利用外部參數(shù)傳入到Web木馬中，Web木馬再將攻擊者傳入的參數(shù)拼接成系統(tǒng)命令并執(zhí)行。

在Web木馬中，需調(diào)用系統(tǒng)的關(guān)鍵函數(shù)用以執(zhí)行本身的功能，這些關(guān)鍵函數(shù)在木馬中起著無(wú)法替代的作用，因此這些關(guān)鍵函數(shù)可作為Web木馬的明顯特征。

在Web木馬中常見(jiàn)的關(guān)鍵函數(shù)如下：

●命令執(zhí)行類(lèi)函數(shù)：eval、system、popen、exec、shell_exec等。

●文件功能類(lèi)函數(shù)：fopen、opendir、dirname、pathinfo等。

●數(shù)據(jù)庫(kù)操作類(lèi)函數(shù)：mysql_query、mysqli_query等。

需要注意的是，多數(shù)木馬會(huì)對(duì)當(dāng)前的關(guān)鍵函數(shù)進(jìn)行類(lèi)型隱藏，如先拆分結(jié)構(gòu)，在調(diào)用時(shí)再進(jìn)行拼接。因此，需要跟蹤整體功能流程后，再根據(jù)執(zhí)行效果進(jìn)行確認(rèn)，這一點(diǎn)需要注意。

4． 必須為可執(zhí)行的網(wǎng)頁(yè)格式

木馬需在當(dāng)前服務(wù)器的Web容器中執(zhí)行，因此必須為網(wǎng)頁(yè)格式。無(wú)論是一句話木馬還是大型木馬，均需如此。

當(dāng)然，在極端情況下可配合文件包含漏洞實(shí)現(xiàn)木馬執(zhí)行，但最終執(zhí)行環(huán)境必須為網(wǎng)頁(yè)。極端情況下（如木馬可被上傳，但無(wú)法解析時(shí)），可配合htaccess實(shí)現(xiàn)對(duì)執(zhí)行名稱(chēng)后綴名的替換，實(shí)現(xiàn)特定后綴名的執(zhí)行。