是黑客經(jīng)常使用的惡意腳本。其目的是為了獲得服務(wù)器的權(quán)限來(lái)執(zhí)行操作，例如執(zhí)行系統(tǒng)命令、竊取用戶數(shù)據(jù)、刪除網(wǎng)頁(yè)、修改主頁(yè)等。它的危害是不言而喻的。黑客通常利用 SQL 注入、遠(yuǎn)程文件包含 (RFI)、FTp 等常見漏洞，甚至使用跨站點(diǎn)腳本 (XSS) 作為社會(huì)工程攻擊的一部分，最終控制網(wǎng)站服務(wù)器。

常用的編程語(yǔ)言有asp、jsp和php。本文將以php為例，詳細(xì)講解常用功能、工作方法、常用隱藏技巧。

為什么受到黑客青睞

黑客使用的第一步通常是將其上傳到可訪問(wèn)的服務(wù)器，例如利用用戶CMS系統(tǒng)的第三方插件中的漏洞進(jìn)行簡(jiǎn)單的php上傳。當(dāng)然，類型和功能并不完全相同。一些簡(jiǎn)單的僅用于連接外部世界，允許黑客插入更精確的惡意腳本并執(zhí)行他們需要的指令；其他的可能更復(fù)雜，有數(shù)據(jù)庫(kù)或文件瀏覽 一種允許黑客從數(shù)千英里外查看受感染系統(tǒng)的代碼和數(shù)據(jù)的設(shè)備。無(wú)論設(shè)計(jì)如何，它都是極其危險(xiǎn)的，并且是網(wǎng)絡(luò)犯罪分子和高級(jí)持續(xù)威脅 (ApT) 的常用工具。常見的攻擊特征如下：

持久遠(yuǎn)程訪問(wèn)

腳本通常包含后門。黑客上傳后，可以充分利用后門實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)和控制服務(wù)器，從而達(dá)到長(zhǎng)期控制網(wǎng)站服務(wù)器的目的。此外，在上傳后，黑客選擇自己修復(fù)漏洞，以確保沒(méi)有其他人會(huì)利用該漏洞。通過(guò)這種方式php代碼混淆，黑客可以保持低調(diào)，避免與管理員進(jìn)行任何互動(dòng)，同時(shí)仍然獲得相同的結(jié)果。

特權(quán)提升

只要服務(wù)器沒(méi)有配置錯(cuò)誤，它就會(huì)在網(wǎng)絡(luò)服務(wù)器的用戶權(quán)限下運(yùn)行php代碼混淆網(wǎng)站制作，這是有限的。通過(guò)這個(gè)，黑客可以利用系統(tǒng)上的本地漏洞來(lái)實(shí)現(xiàn)提權(quán)以獲得root權(quán)限，這樣黑客基本上可以在系統(tǒng)上做任何事情，包括安裝軟件、更改權(quán)限、添加和刪除用戶、竊取密碼、閱讀電子郵件和還有更多。

高度隱蔽

可以在普通網(wǎng)頁(yè)中嵌套運(yùn)行，不易被檢測(cè)和殺死。它也可以通過(guò)服務(wù)器防火墻。由于與受控服務(wù)器或遠(yuǎn)程主機(jī)交互的數(shù)據(jù)是通過(guò) 80 端口傳輸?shù)?，因此不?huì)被防火墻攔截。在沒(méi)有記錄流量的情況下，使用 post 數(shù)據(jù)包發(fā)送，不會(huì)被防火墻發(fā)送。記錄在系統(tǒng)日志中，只有部分?jǐn)?shù)據(jù)提交記錄會(huì)記錄在web日志中。

常用的pHp函數(shù)

適用于幾乎所有的網(wǎng)絡(luò)編程語(yǔ)言。 pHp 是焦點(diǎn)，因?yàn)樗?Web 上使用最廣泛的編程語(yǔ)言。下面是 pHp 中一些最常用的執(zhí)行命令的函數(shù)。

()

() 函數(shù)將命令作為參數(shù)并輸出結(jié)果。

以下示例在操作系統(tǒng)上運(yùn)行 dir 命令，并返回 pHp 文件所在目錄的目錄列表。

同樣，在機(jī)器上執(zhí)行 ls 命令會(huì)得到類似的結(jié)果。

執(zhí)行（）

exec() 函數(shù)將命令作為參數(shù)，但不輸出結(jié)果。如果指定了第二個(gè)可選參數(shù)，則結(jié)果以數(shù)組形式返回。否則，如果回顯，則只顯示結(jié)果的最后一行。

使用exec()函數(shù)執(zhí)行echo命令，只會(huì)輸出最后一行命令結(jié)果。

如果指定第二個(gè)參數(shù)，結(jié)果是一個(gè)數(shù)組。

()

() 函數(shù)類似于 exec()，但它的整個(gè)輸出是一個(gè)字符串。

()

() 執(zhí)行命令并以原始格式返回輸出。

()

() 函數(shù)可能很難理解。簡(jiǎn)單來(lái)說(shuō)，我們可以使用()，來(lái)創(chuàng)建一個(gè)（進(jìn)程），實(shí)現(xiàn)腳本與要運(yùn)行的程序之間的通信。

反引號(hào)

許多 pHp 開發(fā)人員沒(méi)有意識(shí)到這一點(diǎn)，但 pHp 將首先執(zhí)行命令中反引號(hào) (`) 內(nèi)的任何內(nèi)容。請(qǐng)注意，反引號(hào) (`) 與單引號(hào) (') 不同。

基于以上，下面是一個(gè)簡(jiǎn)單的pHp。

它使用()函數(shù)執(zhí)行'cmd'HTTp請(qǐng)求的GET參數(shù)中傳遞的命令。

我們已經(jīng)確定這些功能（以及其他一些功能）可能非常危險(xiǎn)。更危險(xiǎn)的是，在安裝 pHp 時(shí)，所有這些內(nèi)置的 pHp 命令都默認(rèn)啟用，并且大多數(shù)系統(tǒng)管理員不會(huì)禁用它們。如果您不確定您的系統(tǒng)是否啟用了這些功能，請(qǐng)輸入以下內(nèi)容將返回已啟用的危險(xiǎn)功能列表。

在默認(rèn)安裝的情況下，默認(rèn)啟用以下功能。

黑客如何隱藏

修改標(biāo)題

黑客使用用戶代理字符串而不是 $ 參數(shù)來(lái)傳遞命令。

然后，黑客可以通過(guò)將命令放在 User-HTTp 標(biāo)頭中來(lái)制作特定的 HTTp 請(qǐng)求。

在服務(wù)器日志中可以看到這種行為的影響，其中第二個(gè)請(qǐng)求中的 HTTp User- 被 cat /etc/ 命令替換。

上述方法可能會(huì)很吵，并且很容易提示管理員查看服務(wù)器日志。但是通過(guò)以下方法，管理員很難發(fā)現(xiàn)。

這種方法不會(huì)留下正在執(zhí)行的命令的可見痕跡（至少在訪問(wèn)日志中）。

隱藏在普通文件中

黑客可以隱藏的最簡(jiǎn)單方法之一是將它們上傳到深層子目錄和/或使用隨機(jī)名稱。

另外，一種更有效的方法是將代碼嵌入到現(xiàn)有的法律文件中。

或使用 CMS（例如）

注意：黑客通常在函數(shù)前使用@操作符寫入錯(cuò)誤日志，以防萬(wàn)一發(fā)生錯(cuò)誤。

混亂

黑客使用各種混淆技術(shù)來(lái)避免被管理員檢測(cè)到。他們不斷想出新的和更復(fù)雜的方法來(lái)隱藏他們的代碼和繞過(guò)安全系統(tǒng)。以下是我們見過(guò)的一些最常見的技術(shù)：

刪除空格和換行符

通過(guò)從代碼塊中刪除空白換行符，代碼看起來(lái)像一個(gè)大字符串，這會(huì)降低代碼的可讀性并且更難識(shí)別腳本試圖實(shí)現(xiàn)的目標(biāo)。

加密技術(shù)

這種技術(shù)會(huì)加密代碼，降低代碼可讀性，并利用可在運(yùn)行時(shí)重構(gòu)代碼的各種功能。

使用十六進(jìn)制進(jìn)行混淆

十六進(jìn)制值

字符也可以用來(lái)進(jìn)一步混淆命令，下面的例子很好的說(shuō)明了混淆技術(shù)在.

中的應(yīng)用

以下是上述字符串的十六進(jìn)制值。

因此，以下代碼可用于接受十六進(jìn)制編碼的字符串并將其轉(zhuǎn)換為 pHp 代碼。

輸出類似于下圖。

通過(guò)可控輸入

pHp中常用的可控輸入包括：$_GET、$、$、$、$、$等，它們是pHp中的預(yù)定義變量網(wǎng)站建設(shè)，可以將黑客定義的值傳遞給瀏覽器。

下面的例子很簡(jiǎn)單但很有用。雖然代碼沒(méi)有被編碼或加密，因?yàn)樗鼪](méi)有使用任何可疑的函數(shù)名（例如 eval() 或 ()）、冗長(zhǎng)的編碼字符串、復(fù)雜的代碼，它的可檢測(cè)性比之前的代碼還低。最重要的是，管理員查看日志時(shí)不會(huì)造成任何危險(xiǎn)。

如何使用

我們舉一個(gè)例子來(lái)分析它是如何使用的。是一個(gè)類似 pHp 的輕量級(jí)，有幾個(gè)選項(xiàng)，我們將在本例中使用。

出于演示目的，我們將使用創(chuàng)建后門代理在目標(biāo)服務(wù)器上進(jìn)行部署。我們只需要指定密碼和文件名。然后使用密碼訪問(wèn)后門。

.php 包含以下編碼文件。

將 .php 重命名為 ma.php 并將其上傳到受感染的服務(wù)器。然后，我們不使用瀏覽器訪問(wèn)文件，而是使用文件連接。

現(xiàn)在我們有了目標(biāo)服務(wù)器的后門，我們可以執(zhí)行命令了。

檢查服務(wù)器的訪問(wèn)日志，我們會(huì)發(fā)現(xiàn)一些奇怪的東西。

發(fā)送的請(qǐng)求經(jīng)過(guò)編碼，原始 URL 似乎是。如果我們要分析惡意活動(dòng)的日志，這很可能會(huì)困擾我們，因?yàn)樗鼞?yīng)該是合法的引薦來(lái)源網(wǎng)址。當(dāng)然，這是防止檢測(cè)策略的一部分。

我們使用的另一個(gè)有趣的功能是反彈 TCp 選項(xiàng)。這意味著受感染的服務(wù)器將連接回我們，或者我們請(qǐng)求連接。

在源機(jī)器上，我們?cè)诙丝?8181 上設(shè)置了一個(gè)監(jiān)聽器。

使用已建立的后門連接發(fā)起退回的 TCp 請(qǐng)求。

反彈連接現(xiàn)已建立 (192.168.5.25 192.168.5.26）@ >.

通過(guò)使用反彈 TCp 控制服務(wù)器，在訪問(wèn)或錯(cuò)誤日志中沒(méi)有任何痕跡，因?yàn)橥ㄐ攀峭ㄟ^(guò) TCp（第 4 層）而不是 HTTp（第 7 層）進(jìn)行的。

總結(jié)

代碼簡(jiǎn)單且易于使用，但由于許多 Web 服務(wù)器的設(shè)置方式，即使是簡(jiǎn)單的腳本也會(huì)造成嚴(yán)重破壞。這就是為什么有成千上萬(wàn)的披露。變種太多，入侵檢測(cè)和入侵防御系統(tǒng) (IDS/IpS) 很難檢測(cè)到它們，尤其是在使用簽名檢測(cè)此類時(shí)。有些非常復(fù)雜，即使通過(guò)行為分析，也幾乎無(wú)法檢測(cè)到。

話雖如此，它只是一個(gè)后利用實(shí)施工具，這意味著首先要盡早檢測(cè)到它，以防止它被上傳然后被利用。

網(wǎng)頁(yè)標(biāo)題：php代碼混淆提權(quán)在服務(wù)器沒(méi)有配置錯(cuò)誤的情況下如何處理漏洞php混淆在線解密
本文URL：http://www.rwnh.cn/news3/293903.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、小程序開發(fā)、建站公司、域名注冊(cè)、云服務(wù)器、靜態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)