利用PHP的特性做免杀Webshell
最近很多家厂商都陆续开放了自己的Webshell检测引擎,并且公开接口,邀请众安全研究员参加尝试bypass检测引擎,并且给予奖励,我也参加了几场类似的活动,有ASRC的伏魔计划,也有TSRC的猎刃计划,还有最近正在进行的长亭的牧云(Aka.关山)Webshell检测引擎,如果你都参加或者关注了这三个比赛,你会发现他们都提到了以下几个技术:
这些新技术我们后面的章节中,我们先讲一下传统的Webshell检测机制,再对照着最新的Webshell检测技术来说明一下如何在新技术下做免杀Webshell(本文所有Webshell基于PHP语言)
传统的Webshell检测技术主要依赖于字符串的正则特征,在面对于已知的样本可以做到高准确率检测,在长时间的样本收取下,也可以做到满足日常运维中的Webshell检测,举几个经典的Webshell样本
1、经典一句话Webshell
2、反序列化Webshell
3、无字母Webshell
但是对于当下的技术发展,黑客们可以更加精心的编写Webshell来\”骗\”过传统的Webshell检测机制,而且Webshell易变形,在面对0day样本的时候,传统Webshell检测就会效果欠佳,也就需要更加全面的手段来与其抗衡
对于现如今的情况下,传统的Webshell检测对于0day样本的检测效率已经不是特别好了,所以这时候就需要一种\”主动\”的检测方式,能够让引擎主动去理解脚本、分析样本,发现样本中的恶意行为,而不是依靠人工来添加Webshell特征。
举个例子,对于一个Webshell来说,如果要进行任意命令执行,就一定要获取外界数据,对于PHP来说也就是$_GET、$_POST来接受数据,而要想任意命令执行,这些接收到的数据也就一定要最终传递到eval、system等函数中,而污点追踪技术就是利用这一点,如果样本中的外界变量通过不断传递,最终进入到危险函数中,那基本上就可以断定为Webshell,将外界变量视为污点源,危险函数视为污点汇聚点,跟踪污点传播过程,判断污点变量是否被洗白,最终是否进入污点汇聚点,画一个流程图如下:
检测引擎会将各种脚本语言进行词法语法分析,然后构建控制流图和数据流图,并在图上跟踪外界污点变量的传递,使用外界变量是WebShell非常重要的特征,如果发现外界变量最终进入了命令执行函数,就可以判断为Webshell。
引擎可以将传统的条件、循环、函数、对象的静态分析,目前还可以支持动态变量名、箭头函数、反射、回调等动态特性的分析,大大的强化的未知样本的检测成功率。
【—-帮助网安学习,以下所有学习资料关注我,私信回复“资料”获取—-】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
在此之前我们的Webshell常用的绕过检测的方法就是通过加密来绕过,例子如下:
该样本利用了混淆和加密两种技术,但是现如今的检测引擎都具备有对市面上的大部分PHP加密混淆进行“脱壳”和利用动态分析PHP执行器进行虚拟执行,将混淆加密的代码进行动态还原,解密后混淆和加密相当于明文传输,再利用污点追踪技术和动静态结合分析即可大大的提高检测率,并且能够有效减小误报率,同时也让这种在之前百试不爽的技巧无法使用。
我们要知道原理就可以想办法如何“蒙骗“住检测引擎,如果大家研究过,或者说亲身参与到了bypass挑战赛中,就能感受到无论是动静态还是什么技术,最后都是根据污点追踪法则来进行检测,污点追踪的流程在上一节提到了,目前我们有两个方法:
1、利用PHP中其他的命令执行的方法,让检测引擎识别不出这是污点汇集点
2、打断污点追踪的过程,让污点汇集点不落地
拿出一个样本我们来结合代码说明(以下样本分别bypass的引擎会标注出来,截止笔者写这篇的文章的时候只有牧云webshell检测引擎正在开启)
讲一下原理,首先我们需要利用技巧(PHP本身的特性),来阻断污点追踪的过程,我在fuzz测试的时候发现了array_map()这个函数存在callback并且能够逃避检测
那么首先的能够bypass的污点汇集点已经有了,接下里来就是寻找其他函数来将变量\”洗白\”,我选择了array_diff()
这样就可以利用该函数拼凑出一个system函数,再利用array_map()的callback来做命令执行
结果如下:
这样就完成了最简单的一次bypass
__FILE__是PHP的一个魔术常量,它会返回当前执行PHP脚本的完整路径和文件名,我们利用substr()函数逆着截取,就能获得system再利用变量做函数的方式,打断了污点追踪的过程,进行命令执行,也可以成功bypass掉牧云引擎。
结果如下:
牧云引擎检测结果如下:
这个套了一层反序列化,隐藏污点汇集点的方法与样本一相同,利用数组差级构造system后利用原生类Closure的fromCallable函数
进行命令执行(在牧云中array_diff([\”s\”,\”a\”,\”b\”,\”ys\”,\”te\”,\”m\”],[\”a\”,\”b\”]);这种方式会被check,索性换成动态控制,这样也能打断污点追踪)
结果如下:
该样本需要一些条件,前提是开启了php-xml拓展才可以,其原理就是用XML去注册一个registerPHPFunctions,也就是我们想要执行的system再利用getClosure去触发该方法而构成的webshell,其中即利用到了PHP的特性,利用registerNamespace和registerPHPFunctions来中断污点追踪,从而RCE
结果如下:
在构造Webshell的时候,我们如果知道Webshell检测引擎原理,就知道如何去bypass了,对于怎样过掉Webshell引擎这件事,需要开动脑筋多去找一下PHP的文档,去找一下原生类和其他能够中断污点追踪的方法,让引擎跟踪不到你的行为,而且尽量不要让敏感字符串出现在代码本体,因为有的引擎还是有字符串的正则特征检测,同时也要学会分析,分析自己的Webshell到底哪里出的问题,从而找到更好的方法去替换。
PHP 文件读写操作
文件的打开与关闭(读文件中的内容, 向文件中写内容)
文件的读写可以针对图片文件;
1.读取文件中的内容
file_get_contents(); php5以上 返回值为字符传
file() 数组中的每个单元都是文件中相应的一行, 包括换行符在内 返回值为数组
readfile(); 直接输出到缓冲区,不需要用echo(直接将文件读出并输出到浏览器) 返回值为从文件中读入的字节数
不足:全部读取, 不能读取部分, 也不能指定的区域
mode 说明
\’r\’ 开头读(read)
\’r+\’ 开头读写
\’w\’ 清零写(write)
\’w+\’ 清零读写
\’a\’ 追加写(append)
\’a+\’ 追加读写
\’x\’ 谨慎写
\’x+\’ 谨慎读写
fread() string fread ( int $handle , int $length ) 读取文件, 参数$length单位为字节(最大值:8192)
fgetc() string fgetc ( resource $handle ) 返回一个包含有一个字符的字符串
fgets() string fgets ( resource $handle ) 返回一个包含有一行字符的字符串
fgetss() string fgetss ( resource $handle [, int $length [, string $allowable_tags ]] )
从文件指针中读取一行并过滤掉HTML标记
文件锁
2.写入文件
file_put_contents(\”URL\”, \”内容字符串\”); //php5以上,函数返回值为int
如果文件不存在, 则创建, 并写入内容
如果文件存在, 则删除文件中的内容, 重新写
默认为重新写, 可以通过第三个参数使用常量:FILE_APPEND来完成追加写;
格式: file_put_contents(\”URL\”, \”内容字符串\”, FILE_APPEND);
不足: 不能加锁
fopen()
fwrite() 别名 fputs
不同的操作系统具有不同的的结束符号,基于UNIX的系统使用\”\\n\”作为行结束字符,基于windows的系统使用\”\\r\\n\”作为行结束字符
基于Macintosh的系统使用\”\\r\”作为行结束字符。当要写入一个文本文件并想插入一个新行时,需要使用相应的操作系统的行结束符号。
注意:windows操行系统下,\”\\r\\n\”只是在代码中换行,如果要在浏览器显示结果中换行应采用\”<br/>\”
feof() 测试文件指针是否到了文件结束的位置
bool feof ( resource $handle )
stream_get_contents 和file_get_content的区别?
stream_get_contents — 读取资源流到一个字符串, 即其读取的内容是一个已经打开的资源句柄,
如fopen函数打开的文件句柄, 而 file_get_content可以直接读取文件内容读取到一个字符串, 保存在内存中。
本地文件:
./test.txt
c:/appserv/www/index.html
/usr/local/apahce/index.html
远程:
http://www.baidu.com
http://www.163.com
ftp://user@passwd:www.baidu.com/index.php
3.文件内部移动指针
ftell($file) 返回文件指针读/写的位置
fseek($file, 10); 在文件指针中定位
whence 的值定义为:
SEEK_SET – 设定位置等于 offset 字节。 默认值
SEEK_CUR – 设定位置为当前位置加上 offset 。 (要移动到当前文件之前的位置, 需要给 offset 传递一个负值。)
SEEK_END – 设定位置为文件尾加上 offset 。(要移动到文件尾之前的位置, 需要给 offset 传递一个负值。)
rewind(); 将 handle 的文件位置指针设为文件流的开头。
4.文件的锁定一些机制处理
要取得共享锁定(读取的程序), 将 operation 设为 LOCK_SH。 share 共享
要取得独占锁定(写入的程序), 将 operation 设为 LOCK_EX。 exclusive 独享
要释放锁定(无论共享或独占), 将 operation 设为 LOCK_UN。 unshackle 释放锁定
如果不希望 flock() 在锁定时堵塞, 则给 operation 加上 LOCK_NB(Windows 上还不支持)。
flock($fp, LOCK_EX | LOCK_NB)
fflush()将缓冲内容输出到文件
本函数强制将所有缓冲的输出写入 handle 文件句柄所指向的资源。 成功时返回 TRUE , 或者在失败时返回 FALSE 。
文件指针必须是有效的, 必须指向由 fopen() 或 fsockopen() 成功打开的文件(并还未由 fclose() 关闭)。
文件的读写可以针对图片文件;
5 文件截取
接受文件指针 handle 作为参数, 并将文件大小截取为 size, 从开始截取到指定的字符数(大小)。
本文作者及来源:Renderbus瑞云渲染农场https://www.renderbus.com
文章为作者独立观点不代本网立场,未经允许不得转载。
投诉举报&联系我们:
