目录
0x00 前言
0x01 OPcache
0x02 攻击案例
0x03 继续深入
0x04 结论
首页 后端开发 php教程 在PHP OPcache隐藏的后门程序

在PHP OPcache隐藏的后门程序

Jun 20, 2016 pm 12:27 PM

0x00 前言

翻译自 这篇博客

在本文中,我们将寻求策略来检测和分析隐藏在OPcache文件中的恶意软件。如果你没有看过我们之前关于隐藏PHP7 OPcache文件中的 二进制的webshell文章 中,我们建议在继续之前先阅读。

0x01 OPcache

OPcache是PHP7.0新的内置缓存引擎。它编译PHP脚本,并设置在存储器中的存储产生的字节码。

在php.ini中也可以指定的缓存的目标文件夹:

opcache.file_cache=/tmp/opcache

Persisent secondary file-based cache for OPCahe

在上面的文件夹中,OPCache存储php脚本和相应的编译之后的php脚本在同一个文件夹结构目录之下。例如 /var/www/index.php 编译之后会被存储在 /tmp/opcache/[system_id]/var/www/index.php.bin

上面的system_id是有php的版本号,zend的扩展id和各种数据类型的大小,md5之后得到的。在Ubuntu的最新版本(16.04)中,有当前的zend版本和php(7.0.4-7)产生的system_id是81d80d78c6ef96b89afaadc7ffc5d7ea。这个散列是最有可能用于确保安装时的二进制兼容性。该目录由OPcache缓存它的第一个文件时创建。

如我们将在后面看到,每个OPcache文件将有一个system_id被保存在报头字段中。

有趣的是OPcache所有生成的文件夹/文件(/tmp/opcache下的一切)都会有写的权限作为这个用户正在运行的服务。

下面是opchache文件夹中的权限:

#!shell$ ls /tmp/opcache/drwx------ 4 www-data www-data 4096 Apr 26 09:16 81d80d78c6ef96b89afaadc7ffc5d7ea
登录后复制

正如你可以在上面看到,通过OPcache生成的文件夹是由www-data用户写入并且有写的权限。如果我们在OPcache目录有写权限,我们可以通过重写与编译的webshell缓存的文件执行任意代码。

0x02 攻击案例

首先,我们必须获得高速缓存文件夹(/tmp/opcache/[SYSTEM_ID])的位置,并有针对性的PHP文件的位置(/var/WWW/...)

为了简便起见,我们假设该网站留下了的phpinfo()文件,从中我们可以得到的缓存文件夹位置,文件的源代码的位置,和所有必要的字段来计算SYSTEM_ID。(我们已经创建了一个工具,计算从一个网站的phpinfo的系统ID()。你可以找到它在我们的 GitHub库 )。

值得注意的是,目标网站也必须容易文件上传。

假设使用了默认的php.ini设置:

opcache.validate_timestamp = 0    ; PHP 7's default is 1opcache.file_cache_only = 1       ; PHP 7's default is 0opcache.file_cache = /tmp/opcache
登录后复制

这里的攻击是如何工作的:我们发现了一个网站,可以任意文件上传到/var/www下。我们的目标是代替/tmp/opcache/[system_id]/var/www/index.php.bin用我们自己的含有后门的文件。

1.创建一个名为index.php的本地的包含的webshell恶意PHP文件:

#!php<?php    system($_GET['cmd']); ?>
登录后复制

2.在php.ini文件中的设置opcache.file_cache设置为您选择的地方。

3.运行一个web服务,使用PHP -S 127.0.0.1:8080,然后发送了index.php文件的请求,触发缓存引擎。一个简单的wge t127.0.0.1:8080 将会完成这个工作。

4.再到在步骤1中指定的缓存文件夹;你会发现一个名为index.php.bin文件。这是我们的webshell的编译版本。

5.由于本地SYSTEM_ID将有可能和目标的不同,我们要打开index.php.bin,修改system_id。正如前面提到的,system_id可以通过暴力破解或phpinfo()函数的服务器信息进行计算而得到。要更换system_id所在的文件签名的右面:

6.使用文件上传漏洞,我们上传一个文件/tmp/opcache/[system_id]/var/www/index.php.bin。

7.刷新网站的index.php文件将运行我们的webshell。

0x03 继续深入

php.ini中设置至少有两个配置将创建替代行为。

Disabling file_cache_onlyEnabling validate_timestamp
登录后复制

Bypassing memory cache (file_cache_only = 0)

如果内存缓存文件缓存优先文件缓存,覆盖OPcache文件将不执行

我们的webshell。如果网站服务器重新启动,这种限制可以被绕过。由于内存缓存将被清空,OPcache将使用文件高速缓存,填补了内存高速缓存,从而执行我们的webshell。

从这个行为看来,不需要重新启动来执行webshell仍然是可能的。

在像WordPress的框架,也有一些过时文件仍然公开访问(例如: functions.php )。

由于这些文件已被弃用,他们不会被装载在内存或在文件系统中没有一个缓存版本。我们上传恶意负载(functions.php.bin),并请求相关的网页(/wp-includes/registration-functions.php)后,OPcache将运行我们的二进制的webshell。

Bypassing timestamp validation (validate_timestamps = 1)

如果启用了时间戳验证,OPcache将检查请求的PHP源文件的时间戳,并将其与缓存文件的时间戳报头字段对比。如果它们不匹配,则高速缓存文件被丢弃,并创建一个新的。为了成功地绕过这个限制,攻击者必须知道目标源文件的时间戳。

话虽这么说,在像WordPress的框架,对源文件的时间戳是作为他们在提取zip或tar时的。

这个有趣的是,一些文件2012年以来没有被修改(functions.php和registration.php的文件)。因此,这些跨越多个版本的WordPress时间戳将会相同。知道时间戳,攻击者就可以相应地修改他的有效载荷,并成功地代替高速缓存,与validate_timestamps设置。时间戳位于从文件的开头34字节:

0x04 结论

总之,这种新的攻击向量是针对具体的硬化环境的额外开采技术。它不是影响PHP应用的通用漏洞。随着PHP7.0的发行如Ubuntu16.04的到来,此攻击更需要加强审核您的代码避免文件上传漏洞和警惕潜在危险的服务器配置。

本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

AI Hentai Generator

AI Hentai Generator

免费生成ai无尽的。

热门文章

R.E.P.O.能量晶体解释及其做什么(黄色晶体)
2 周前 By 尊渡假赌尊渡假赌尊渡假赌
仓库:如何复兴队友
1 个月前 By 尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island冒险:如何获得巨型种子
4 周前 By 尊渡假赌尊渡假赌尊渡假赌

热工具

记事本++7.3.1

记事本++7.3.1

好用且免费的代码编辑器

SublimeText3汉化版

SublimeText3汉化版

中文版,非常好用

禅工作室 13.0.1

禅工作室 13.0.1

功能强大的PHP集成开发环境

Dreamweaver CS6

Dreamweaver CS6

视觉化网页开发工具

SublimeText3 Mac版

SublimeText3 Mac版

神级代码编辑软件(SublimeText3)

11个最佳PHP URL缩短脚本(免费和高级) 11个最佳PHP URL缩短脚本(免费和高级) Mar 03, 2025 am 10:49 AM

长URL(通常用关键字和跟踪参数都混乱)可以阻止访问者。 URL缩短脚本提供了解决方案,创建了简洁的链接,非常适合社交媒体和其他平台。 这些脚本对于单个网站很有价值

在Laravel中使用Flash会话数据 在Laravel中使用Flash会话数据 Mar 12, 2025 pm 05:08 PM

Laravel使用其直观的闪存方法简化了处理临时会话数据。这非常适合在您的应用程序中显示简短的消息,警报或通知。 默认情况下,数据仅针对后续请求: $请求 -

构建具有Laravel后端的React应用程序:第2部分,React 构建具有Laravel后端的React应用程序:第2部分,React Mar 04, 2025 am 09:33 AM

这是有关用Laravel后端构建React应用程序的系列的第二个也是最后一部分。在该系列的第一部分中,我们使用Laravel为基本的产品上市应用程序创建了一个RESTFUL API。在本教程中,我们将成为开发人员

简化的HTTP响应在Laravel测试中模拟了 简化的HTTP响应在Laravel测试中模拟了 Mar 12, 2025 pm 05:09 PM

Laravel 提供简洁的 HTTP 响应模拟语法,简化了 HTTP 交互测试。这种方法显着减少了代码冗余,同时使您的测试模拟更直观。 基本实现提供了多种响应类型快捷方式: use Illuminate\Support\Facades\Http; Http::fake([ 'google.com' => 'Hello World', 'github.com' => ['foo' => 'bar'], 'forge.laravel.com' =>

php中的卷曲:如何在REST API中使用PHP卷曲扩展 php中的卷曲:如何在REST API中使用PHP卷曲扩展 Mar 14, 2025 am 11:42 AM

PHP客户端URL(curl)扩展是开发人员的强大工具,可以与远程服务器和REST API无缝交互。通过利用Libcurl(备受尊敬的多协议文件传输库),PHP curl促进了有效的执行

在Codecanyon上的12个最佳PHP聊天脚本 在Codecanyon上的12个最佳PHP聊天脚本 Mar 13, 2025 pm 12:08 PM

您是否想为客户最紧迫的问题提供实时的即时解决方案? 实时聊天使您可以与客户进行实时对话,并立即解决他们的问题。它允许您为您的自定义提供更快的服务

宣布 2025 年 PHP 形势调查 宣布 2025 年 PHP 形势调查 Mar 03, 2025 pm 04:20 PM

2025年的PHP景观调查调查了当前的PHP发展趋势。 它探讨了框架用法,部署方法和挑战,旨在为开发人员和企业提供见解。 该调查预计现代PHP Versio的增长

Laravel中的通知 Laravel中的通知 Mar 04, 2025 am 09:22 AM

在本文中,我们将在Laravel Web框架中探索通知系统。 Laravel中的通知系统使您可以通过不同渠道向用户发送通知。今天,我们将讨论您如何发送通知OV

See all articles