webshell免杀--免杀入门

于 2024-08-18 21:49:17 发布
阅读量288 收藏 5
点赞数 2
分类专栏: # 免杀对抗 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79590880/article/details/141267912
版权

前言

欢迎来到我的博客

个人主页:北岭敲键盘的荒漠猫-CSDN博客

本文主要整理webshell免杀的一些基础思路

入门级,不是很深入,主要是整理相关概念

 免杀对象

1.各类杀毒软件

类似360,火绒等,查杀己方webshell的软件。

2.各类流量捕捉识别系统

有些脚本系统会识别我们的工具,能够识别出我们用的是冰蝎,哥斯拉,蚁剑等,我们免杀也需要应对这类系统。

表面代码查杀

描述

指我们的webshell刚放到目标机上,就直接被查杀。即使我们连接都没连接什么都没干。

现象演示

原本杀软是不杀webshell的,后来越来越严格开始杀webshell了。

我们生成一个哥斯拉的shell。

现在我们开启安装对应杀软的虚拟机,把shell放进去进行测试。

火绒

360极速版

没直接杀掉,怕误杀,但是扫描,或者连接会报毒。

360正式版

直接报毒

 微软自带杀毒

直接报毒

 

弱鸡免杀工具免杀

直接用了狐狸工具箱里的,

把webshell放到他的文件夹中。

运行脚本

 点选项,生成免杀shell。

现在再放到360中测试

 

成功过360.

连接试试

cookie也要配置好

成功绕360连接

 

 行为查杀

描述

虽然有时候webshell躲过了目标的查杀,但是他的功能都是被限制的。如果某个软件做出了某些正常软件不会做的行为,杀软也会阻止这些软件。

现象演示

执行dir正常执行

执行net user,报毒

所以也需要我们执行命令的时候尽量避免一些敏感的命令。

工具查杀

 描述

1.对方有流量捕捉识别系统,能专项识别某种工具,而我们使用未魔改的对应工具就会直接被发现。

2.老牌工具相对来说执行命令困难一点,像上面的行为查杀。用一些老工具淘汰的工具可能限制会更多

对策

1.使用小众的未公开的工具

2.对主流工具进行魔改(修改指纹,修改加密)

3.尽量用新工具。

 

 

 

北岭敲键盘的荒漠猫
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
强大的webshell管理工具-哥斯拉
12-27
标题中的“强大的webshell管理工具-哥斯拉”指的是一个名为“哥斯拉”的软件工具,它是专门设计用于管理和控制Webshell的。Webshell是一种在Web服务器上运行的后门程序,通常由黑客植入,以远程控制服务器或执行恶意...
Webshell免杀教程
02-03
免杀主要是指通过各种手段使 Webshell 不被杀毒软件识别和查杀,以便在目标服务器上持久存在。 以下是一些常见的 Webshell 免杀技巧: 1. **代码混淆**:改变关键函数的大小写,混合使用大小写字母,增加杀毒软件...
php webshell 免杀入门
Goodric的博客
08-09 1449
免杀则是通过灵活运用编程语言的不同特征以及提供的参数重构木马来躲避查杀工具的查杀。还有通过加解密技术对木马程序进行加解密处理。
关于PHP的webshell免杀小结
2401_84488651的博客
05-30 921
我们可以通过我们自定义的函数方式,搭配php的版本和可替换函数绕过WAF的拦截,达到免杀的目的!由于在PHP函数中函数名、方法名、类名 不区分大小写,但推荐使用与定义时相同的名字的时候还可以使得大小写进行绕过,所以大大提升了免杀效果!
分享几个PHP的webshell免杀思路
2401_84466225的博客
05-29 1430
ps:远程获取的时候,其实也可以用fopen读取远程文件,更加方便点,但是感觉这个函数貌似比较常用,可能会被一些waf或者查杀工具查到,所以用到了远程获取的地方,分别使用了fopen函数和curl进行。
php webshell免杀初探_2024最新php免杀大马
最新发布
2401_84253380的博客
06-20 381
通过webshell加载器进行绕过,实战中不知道是否可行。(可能要加入不死马机制?本体.php加载器。
免杀】-哥斯拉魔改(入门
qq_55349490的博客
06-04 1506
我们都知道哥斯拉默认生成的shell是很容易被安全软件检测出来的。所以我们需要修改shell生成逻辑,以达到免杀。除了修改指纹外,我们还需要修改数据包的加密方式,以及魔改生成的shell以实现免杀的效果。我们知道,哥斯拉强大之处就在于它的插件功能。插件我们也可以尝试自己开放插件。分析多个流量包可以发现哥斯拉有3个强特征。尝试搜索关键词搜索不到,发现是。
PHP从零学习到Webshell免杀手册
jennycisp的博客
10-23 550
首先,要知己知彼,才能针对性做出策略来使得WebShell成功免杀$tmp = "";$a = $a/10;//sysTem(高危函数)同样,可以配合文件名玩出一些花活,我们建一个PHP名字为976534.php$tmp = "";$a = $a/10;//sysTem(高危函数)//__FILE__为976534.php//substr(__FILE__, -10, 6)即从文件名中提取出976534。
冰蝎php马免杀思路
2401_84488537的博客
06-16 1061
其实还有小马哥的腾讯哈勃,但是那个不支持上传webshell,上传压缩包虽然行,但是如果压缩一遍了连冰蝎原马都查杀不出来,就当图一乐了,就不放出来了.....大部分云沙箱和在线查杀我都基本试过了,基本除了安恒云沙箱都能稳过(ah一生之敌),因为我的测试环境是php7.3往上了,没法用assert拼接执行,估计是检测到了eval执行字符串代码,所以静态检测没过,太丢脸就不放截图啦,师傅们可以按着自己的想法改改试试()但是也正常,只是做了基础的静态免杀而已,其实处理还是不够到位的,心态要端正,很不错了!
简单免杀绕过和利用上线的GoCS
2401_84488537的博客
06-03 1113
第一次编写插件和编写 js 文件,无疑是一次面向百度的编程,总体还是不错,学到了很多。遗憾的是 asp 并没有免杀,还希望会 asp 的师傅指导一下。这个版本很基础,很简单进行利用,所以只能在简单环境下利用,希望后面能加入更多的元素,让这个插件适应更多复杂环境。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
远控免杀入门到实践 (11) 终结篇
weixin_46236101的博客
03-13 4396
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《远控免杀入门到实践》系列文章目录: 1、远控免杀入门到实践 (1)基础篇 2、远控免杀入门到实践 (2)工具总结篇 3、远控免杀入门到实践 (3)代码篇-C/C++ 4、远控免杀入门到实践 (4)代码篇-C# 5、远控免杀入门到实践 (5)代码篇-Python 6、远控免杀入门到实践 (6)代码篇-Powershell 7、远控免杀入门到实践
webshell-venom-master一些免杀
04-13
它包含了一系列用不同编程语言编写的Webshell,这些Webshell在设计时考虑了免杀(evasion)特性,使得它们能在一定程度上避开常规的Web安全检测系统。下面将详细介绍这个项目及其相关知识点。 1. **Webshell**:...
特征码免杀webshell
05-04
特征码免杀webshell免杀性能好。稳定性强这个是非常好的一份开源代码。
源码免杀webshell
05-04
【源码免杀Webshell】是一种特殊的Web应用程序代码,它被设计用来绕过安全系统,允许未经授权的远程访问和控制服务器。在网络安全领域,Webshell是黑客常用的工具,用于在目标服务器上执行命令、上传/下载文件以及...
甲壳虫免杀webshell
04-25
【甲壳虫免杀Webshell】是一种特殊设计的恶意代码,用于在Web服务器上实现远程控制,具有较强的隐蔽性和抗检测性。免杀Webshell,顾名思义,是指能够绕过安全防护软件检测的Web后门程序。甲壳虫免杀Webshell因其出色...
new.bypass_bypass_NEW_免杀_webshell_phpwebshell_
10-03
【标题】"new.bypass_bypass_NEW_免杀_webshell_phpwebshell_" 指的是一种新型的Webshell,它带有“bypass”和“NEW”特性,表明这是一个旨在绕过安全检测,且是最新技术的PHP WebshellWebshell通常被黑客用于远程...
webshell-dictionary-master 上千个webshell合集
09-29
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后...
未加密免杀php大马.php
02-21
现在的后门里面都有内藏后门,会被黑吃黑,我分享的这个大马全解密,不会被螳螂捕蝉黄雀在后。可以过一些nginx防火墙的后门查杀,防止被爆破密码,密码输错你指定的次数就拉黑ip段,后门登录需要账号和密码,非泛滥...
webshell免杀
03-16
WebShell 免杀指的是让 WebShell 在网站管理员或安全软件扫描时不被检测到或误判为恶意软件。这可以通过混淆、加密或隐藏 WebShell 的代码来实现。但是需要注意的是,这并不能保证 WebShell 不会被发现或清除,并且使用 WebShell 也是非法的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北岭敲键盘的荒漠猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值