Webshell免杀技术分析 - PHP反序列化与自动加载机制利用

1. 技术背景

本文分析一种基于PHP反序列化和自动加载机制的Webshell免杀技术，该技术通过巧妙利用PHP的spl_autoload机制实现文件包含，绕过传统安全检测。

2. 核心原理

2.1 PHP反序列化漏洞

PHP反序列化漏洞允许攻击者通过构造特定的序列化数据，在反序列化过程中执行恶意代码或触发危险操作。

2.2 spl_autoload机制

PHP的spl_autoload函数是自动加载机制的一部分，当尝试使用尚未定义的类时，会自动调用该函数尝试加载类定义文件。

关键行为：

• 自动将类名转换为小写
• 自动添加.inc或.php等扩展名查找文件
• 按照include_path设置的路径查找文件

3. 技术实现细节

3.1 攻击流程

1. 构造一个序列化字符串，其中包含一个不存在的类名
2. 触发反序列化时，PHP会尝试加载这个不存在的类
3. 触发spl_autoload机制，尝试加载类名.inc文件
4. 通过控制服务器上的.inc文件实现任意代码执行

3.2 示例代码分析

<?php
class evil {
    public $data;
    function __destruct() {
        file_put_contents('/tmp/evil', $this->data);
    }
}

// 攻击者构造的序列化数据
$serialized = 'O:4:"evil":1:{s:4:"data";s:10:"evil code";}';

// 反序列化触发漏洞
unserialize($serialized);

3.3 免杀改进版本

<?php
// 反序列化一个不存在的类"nb"
$serialized = 'O:2:"nb":0:{}';
unserialize($serialized);

// spl_autoload会自动尝试加载nb.inc

4. 关键修正点

原文章中的错误修正：

• 反序列化的类名(nb)必须与要包含的文件名(nb.inc)的前缀一致
• spl_autoload会自动将类名转换为小写并添加.inc扩展名
• 要修改包含的文件名，必须同时修改反序列化的类名

5. 绕过检测的技巧

1. 类名与文件名的对应关系：确保反序列化的类名与要包含的文件名前缀匹配
2. 大小写处理：spl_autoload会自动将类名转为小写
3. 扩展名选择：使用.inc而非.php可能绕过一些安全检测
4. 文件位置：文件必须位于PHP的include_path中或使用相对/绝对路径

6. 防御措施

1. 禁用危险函数：限制unserialize()函数的使用
2. 监控文件操作：监控对.inc文件的写入操作
3. 类白名单：实现自定义反序列化逻辑，只允许反序列化已知安全的类
4. 更新检测规则：WEBDIR+等安全产品应检测非常规的文件包含方式
5. 代码审计：检查所有使用unserialize()的地方

7. 高级利用技巧

1. 链式利用：结合其他PHP特性构造更复杂的攻击链
2. 多阶段加载：通过首次加载无害代码，后续加载恶意代码
3. 环境伪装：使恶意文件看起来像正常配置文件
4. 时间延迟：不在首次访问时触发恶意行为

8. 检测与排查方法

1. 日志分析：检查异常的文件包含操作
2. 文件监控：监控对.inc文件的修改
3. 内存检查：检查PHP进程中加载的异常类
4. 行为分析：检测反序列化后的异常对象行为

9. 总结

这种Webshell免杀技术利用了PHP核心机制的合法功能实现恶意目的，具有较高的隐蔽性。防御方需要深入理解PHP内部机制，才能有效检测和防范此类攻击。