后门对于我们站长来讲是非常的严重的一个bug了，我们经常会碰到网站被黑了结果一查就有后门程序了，今天我们给各位上长演示一下php后门的一些实现手段吧，大家看了之后可以对网站进行一些有效的防护了。

最近很多人分享一些过狗过盾的一句话，但无非是用各种方法去构造一些动态函数，比如$_GET['func']($_REQUEST['pass'])之类的方法。万变不离其宗，但这种方法，虽然狗盾可能看不出来，但人肉眼其实很容易发现这类后门的。

    那么，我就分享一下，一些不需要动态函数、不用eval、不含敏感函数、免杀免拦截的一句话。

    有很多朋友喜欢收藏一些tips，包括我也收藏了好多tips，有时候在渗透和漏洞挖掘过程中很有用处。

    一句话的tips相信很多朋友也收集过好多，过狗一句话之类的。14年11月好像在微博上也火过一个一句话，当时也记印象笔记里了：

    有同学收集tips，就有同学创造tips。那么我们怎么来创造一些过狗、过D盾、无动态函数、无危险函数（无特征）的一句话（后门）？

    根据上面这个pdo的一句话，我就可以得到一个很具有普适性的结论：php中包含回调函数参数的函数，具有做后门的潜质。

0x01 回调后门的老祖宗

    这个后门，狗和盾都可以查到（但是狗不会拦截）：

    可php的函数库是很丰富的，只要简单改下函数安全狗就不杀了：

    可见，虽然狗不杀了，D盾还是聪明地识别了出来。

    看来，这种传统的回调后门，已经被一些安全厂商盯上了，存在被查杀的风险。

0x02 数组操作造成的单参数回调后门

    进一步思考，在平时的php开发中，遇到过的带有回调参数的函数绝不止上面说的两个。这些含有回调（callable类型）参数的函数，其实都有做“回调后门”的潜力。

    我最早想到个最“简单好用的”：

    array_filter函数是将数组中所有元素遍历并用指定函数处理过滤用的，如此调用（此后的测试环境都是开着狗的，可见都可以执行）：

    这个后门，狗查不出来，但D盾还是有感应，报了个等级3（显然比之前的等级4要低了）：

    果然，简单的数组回调后门，还是很容易被发现与查杀的。

webshell对于我们站长来讲肯定听到比较多了，我们网站可能经常被人使用期webshell方式注入一些东西了，下面一起来看一个php webshell下直接反弹shell的例子，具体如下。

inux下，有时候拿到webshell需要提权，提权必须要得到一个交互式的shell。

    反弹shell的时候web页面会卡死，因为php没有异步的函数，默认也不支持多线程，所以卡住这个现象很正常，不影响反弹shell。

    不过我试了，在windows下似乎不能完美运行。不知道是我环境问题（杀毒软件等）还是代码问题。silic的大马中有一个windows反弹的功能，windows下可以使用：

    另附我的webshell中执行命令的函数，各位看官自行修改后可以使用。有可以补充的，欢迎告诉我呀~

PHP调用系统的命令不管在linux还是在windows中只要权限足够都是可以执行了，下面我们就来看一个在linux中PHP调用linux外部命令的例子。

相信大家或多或少都用过AMH，Vestacp等vps面板，这些面板都是使用的php语言，从本质上来说就是php执行linux的外部命令。

PHP 为执行外部命令提供大量函数，其中包括 shell_exec()、exec()、passthru() 和 system()。这些命令是相似的，但为您运行的外部程序提供不同的界面。所有这些命令都衍生一个子进程，用于运行您指定的命令或脚本，并且每个子进程会在命令输出写到标准输出 (stdout) 时捕捉它们。

说明：通过 shell 运行外部程序，然后以字符串的形式返回结果。

shell_exec() 命令行实际上仅是反撇号 (`) 操作符的变体，通过该命令可以运行shell命令，然后以字符串的形式返回结果。

统计当前目录下所有文件中的单词数量，并输出前五行。

说明：与 shell_exec() 相似，返回输出的最后一行

本函数执行输入 command 的外部程序或外部指令。它的返回字符串只是外部程序执行后返回的最后一行；若是 return_var 跟 output 二个参数都存在，则执行 command 之后的状态会填入 return_var 中。

统计当前目录下所有文件中的单词数量，并输出前五行，但是实际上只输出了一行。

说明：passthru() 允许您运行外部程序，并在屏幕上显示结果。

passthru() 允许您运行外部程序，并在屏幕上显示结果。您不需要使用 echo 或 return 来查看结果；它们会显示在浏览器上。您可以添加可选的参数，即保存从外部程序返回的代码的变量，比如表示成功的 0，这为调试提供更好的机制。

说明：执行外部程序并显示输出资料。

system() 命令是一种混合体。它像 passthru() 一样直接输出从外部程序接收到的任何东西。它还像 exec() 一样返回最后一行，并使返回代码可用。

一般来说，exec() 命令比较常用；
如果不关心结果，并且命令比较简单时，可以使用 shell_exec()；

不过小编还是要说一句，没有必须使用php执行系统函数了，我们可以禁止掉了,在php.ini中我们如下写

依赖注入是对于要求更易维护，更易测试，更加模块化的代码的答案。每个项目都有依赖（外界提供的输入）, 项目越复杂，越需要更多的依赖。